Audit de la gestion intégrée des risques à Santé Canada
Télécharger le format de rechange
(Format PDF, 284 ko, 9 pages)
- Organisation : Santé Canada
- Date publiée : Mai 2023
Rapport définitif
Décembre 2022
Préparé par le bureau de l'Audit et de l'évaluation
Table des matières
- Résumé
- Critère 1 – Gouvernance
- Critère 2 – Processus de gestion des risques
- Critère 3 – Surveillance
- Annexe A – Feuille de pointage
Résumé
Introduction
L'intégration efficace de la gestion du risque dans la gouvernance, les structures et les programmes 'une organisation contribue à soutenir le processus décisionnel à l'échelle du ministère et les principales fonctions de gestion, notamment l'élaboration de politiques, la planification et l'établissement de priorités, l'affectation des ressources, ainsi que l'évaluation du rendement au niveau du ministère, des directions générales et des programmes.
À Santé Canada (SC), la gestion des risques est une responsabilité partagée par les gestionnaires à tous les niveaux. La Direction des présentations ministérielles et de la mesure du rendement (DPMMR) mène l'élaboration du Profil de risque organisationnel (PRO), qui détermine les risques organisationnels stratégiques de haut niveau. De plus, chacune des directions générales est responsable de l'élaboration et de la mise en œuvre de stratégies pour faire face aux risques ciblés dans le PRO, ainsi qu'à ceux qui sont propres à leur mandat et à leurs opérations. Les cadres stratégiques ministériels prévoient une certaine souplesse quant à la façon dont les directions générales et les unités opérationnelles individuelles adaptent les activités et les processus de gestion des risques à leurs besoins. Cet audit a tenu compte de cette flexibilité dans son évaluation du cadre ministériel global de gestion du risque.
Le Cadre stratégique de gestion du risque (2010) du Secrétariat du Conseil du Trésor du Canada (SCT) énonce également des principes généraux de gestion du risque et des conseils à l'intention des administrateurs généraux et de leur ministère. Le Guide de gestion intégrée du risque du SCT (2014) s'appuie sur les principes du cadre et oriente la conception, la mise en œuvre, la conduite et l'amélioration continue de la gestion intégrée du risque. Les critères utilisés pour évaluer le cadre et les pratiques de gestion du risque du Ministère reflètent les principes et les directives de gestion du risque de ces cadres. Les principes directeurs de la Gestion intégrée du risque sont décrits dans divers cadres, notamment dans les normes internationales de gestion du risque énoncées dans les Principes et lignes directrices pour le management du risque de l'Organisation internationale de normalisation (ISO 31000) et le Cadre de gestion des risques en entreprise (GRE) du Committee of Sponsoring Organizations (COSO).
Énoncé de conformité
Cet audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne et elle est validée par les résultats du programme d’amélioration et d’assurance de la qualité du Bureau de l’audit et de l’évaluation.
Objectif de la mission
L'objectif de l'audit était 'évaluer si le cadre et les pratiques de gestion des risques du Ministère soutiennent efficacement la détermination, l'évaluation et l'intégration de l'information sur les risques à des fins de planification, de surveillance et de prise de décisions.
Engagement Scope
Portée de la mission
La portée de l'audit était axée sur les processus et activités de gestion des risques aux niveaux ministériel et des directions générales, du 1er avril 2019 au 31 décembre 2021. L'audit a examiné les politiques et les cadres de gouvernance; les rôles et les responsabilités; les processus, les outils et les procédures pour cerner les risques, les évaluer et y répondre. L'audit portait sur les processus de surveillance et de communication de l'information sur les risques et 'intégration de cette information dans les cycles de planification et de rapport du Ministère. La portée de l'audit n'a pas compris l'évaluation du caractère approprié des risques ciblés ni sur les niveaux ou catégories de risques réels et les réactions aux risques déterminés par la direction.
Nos observations
Les pratiques de gestion du risque de Santé Canada au niveau de l'organisation et des directions générales favorisent généralement la détermination et l'intégration des risques dans les processus de planification et de prise de décision. Toutefois, le Ministère a la possibilité 'améliorer la gestion du risque au niveau des directions générales en officialisant et en normalisant les pratiques de gestion du risque.
Santé Canada détermine et évalue officiellement ses risques de niveau stratégique à l'aide du PRO. Le Ministère a confié à chacune des directions générales la responsabilité 'élaborer et de mettre en œuvre des réactions aux risques ciblés dans le PRO. La DSPMD examine chaque année l'atteinte des résultats par chacune des directions générales, ainsi que les réactions aux risques qui y sont associés, et les intègre au Rapport sur les résultats ministériels.
Les directions générales et les directions du Ministère ont recours à des processus de planification opérationnelle pour définir les priorités et les risques associés. On surveille les progrès de ces initiatives et priorités grâce aux structures de gouvernance existantes. Cependant, les risques ne sont pas systématiquement pris en compte par les comités de haut niveau et le Ministère n'a pas défini les rôles et les responsabilités en matière de surveillance et de production de rapports sur les pratiques de gestion des risques. En outre, le Ministère n'offre pas de formation officielle en gestion des risques à ses employés.
Santé Canada pourrait améliorer et renforcer davantage les pratiques de gestion des risques en :
- récisant les rôles et les responsabilités et en normalisant les processus et les outils de gestion des risques;
- incorporant des éléments spécifiques aux risques dans les points à l'ordre du jour du comité supérieur pour examen, discussion et approbation;
- mettant en œuvre des initiatives de formation spécifiques à la gestion des risques;
- améliorant le processus de surveillance continue des risques, y compris l'évaluation périodique des pratiques de risque et l'efficacité des réactions aux risques.
Critère 1 – Gouvernance
Contexte
L'intégration de la gestion des risques dans les processus de gouvernance aide la direction à s'acquitter de son mandat en facilitant la prise de décisions plus rapides et mieux informées, en favorisant une meilleure affectation des ressources et en soutenant la conformité aux politiques et aux lois. Elle aide également le Ministère à reconnaître, à comprendre, à adapter et à tirer parti des nouveaux défis et des nouvelles possibilités, et à adopter une approche stratégique et globale pour faire face aux risques horizontaux qui nécessitent une attention soutenue.
La gestion intégrée du risque a été retirée du Cadre de responsabilisation de gestion (CRG) avant que l'on définisse la portée de cet audit. L'absence 'évaluations de la gestion intégrée du risque dans le CRG peut avoir diminué l'importance accordée par le Ministère aux processus de gestion intégrée du risque. Cette situation, combinée à l'environnement opérationnel volatile et exigeant en ressources teinté par la COVID 19, peut avoir eu une incidence négative sur le niveau de progrès et de mobilisation à l'égard des initiatives stratégiques de gestion des risques au cours des dernières années.
Ce à quoi nous nous attendions
Nous nous attendions à constater que des cadres de gouvernance appropriés soutiennent la gestion intégrée des risques (GIR) dans l'ensemble du Ministère, notamment des politiques et des normes établies, des rôles et des responsabilités clairement définis, et des responsables bien positionnées pour assurer la direction et la surveillance.
Principales constatations
Politique et directives
Le Ministère a rédigé la Politique de gestion des risques de Santé Canada (la Politique) et le Guide de gestion des risques qui l'accompagne (le Guide), qui sont alignés sur le Cadre stratégique de gestion du risque du SCT (le Cadre) et le Guide de gestion intégrée du risque du SCT. Ensemble, ils décrivent les éléments clés de la gestion du risque, y compris les objectifs, les principes directeurs, les rôles et les responsabilités, les concepts de gestion du risque et les principales étapes du cycle de vie de la gestion du risque. Toutefois, la Politique est à l'état 'ébauche depuis le début de 2021 et n'a pas encore été présentée à la haute direction aux fins 'approbation.
Bien que les résultats prévus de la Politique comprennent des approches communes et une plus grande cohérence dans la prise de décisions fondées sur le risque dans l'ensemble du Ministère, la Politique ne définit pas 'attentes communes de base pour toutes les directions générales en ce qui concerne les processus de gestion du risque et les produits livrables. La définition et la communication de ces attentes appuieraient les processus de gestion des risques de chacune des directions générales et l'objectif de la politique de favoriser des approches communes et une cohérence accrue des pratiques. Cela faciliterait également la surveillance et l'évaluation de la mise en œuvre de la politique et du cadre et simplifierait les efforts du Ministère pour consolider et intégrer l'information sur les risques qui est essentielle à l'élaboration du PRO.
Rôles et responsabilités
Le Ministère a défini les principaux rôles et responsabilités en matière de gestion des risques dans la Politique, y compris ceux des principaux organes de gouvernance. Cependant, il ne désigne pas 'autorité fonctionnelle responsable de la surveillance de la gestion des risques et de la conformité à la politique et aux normes. Les représentants de la DGCCRF ont déclaré que la gestion des risques se limite au processus du PRO. Une autorité fonctionnelle clairement définie aiderait davantage le sous ministre à surveiller et à évaluer l'intégration des pratiques de gestion des risques dans l'ensemble du Ministère.
Bien que la politique ne définisse pas les rôles et les responsabilités des gestionnaires au niveau des directions générales, l'audit a permis de constater que les gestionnaires comprennent généralement les principes de gestion des risques et tiennent compte des risques dans leurs plans et leurs activités. Le cadre de référence des organes de gouvernance au niveau des directions générales comprend également des attentes et des orientations générales en matière de gestion des risques.
Instances de gouvernance
Le cadre de référence des comités de la haute direction au niveau du Ministère et des directions générales comprend la responsabilité 'assurer le leadership, l'orientation et la surveillance des principales fonctions de gestion, y compris la gestion des risques. Au sein des Comités exécutifs de la Direction générale (CEDG) et des comités de direction, les discussions sur les risques ont lieu par l'intermédiaire de présentations ponctuelles par les unités de planification et des rapports des directions générales, et par le biais de présentations par les DG ou les directeurs concernant leurs plans, leurs priorités et les risques connexes.
Le Comité exécutif (CE) est l'organe le plus élevé pour la prise de décisions, l'orientation et la surveillance. Il est soutenu par des sous comités qui servent de forums de discussion, 'examen et de recours hiérarchique pour les questions relatives aux risques dans le cadre de leurs mandats respectifs. Cependant, les points traitant explicitement de la gestion des risques ne sont pas formellement intégrés en tant que points permanents à l'ordre du jour des comités supérieurs. Rien ne prouve que le CE ait discuté du PRO au cours de la période considérée ou de son examen et de son approbation annuelle. Les membres du comité ministériel 'audit (CMA) se sont mobilisés de façon officieuse à apporter leur contribution au PRO 2019 2022, mais les examens du PRO ou de la structure ministérielle de gestion des risques ne figuraient pas à l'ordre du jour des réunions du CMA pendant la période de l'audit. L'absence de discussions officielles sur la gestion des risques au sein des organes de gouvernance de la haute direction réduit la surveillance, l'engagement et l'approbation des pratiques de gestion des risques au sein du Ministère par la haute direction.
Conclusion
L'ébauche de la Politique ministérielle et les processus de gouvernance connexes fournissent une certaine orientation et une structure aux pratiques de gestion des risques, mais ils ne soutiennent pas adéquatement et ne maximisent pas les avantages de la GIR dans l'ensemble du Ministère. La Politique et les structures de gouvernance bénéficieraient de ce qui suit :
- Des rôles et des responsabilités clairement définis pour la DGDPF en tant qu'autorité fonctionnelle de la gestion des risques au niveau de l'organisation et des programmes;
- Les attentes de base pour les processus de gestion des risques au niveau de l'organisation et des programmes;
- L'intégration 'activités formelles et périodiques de surveillance de la gestion des risques dans les comités supérieurs, notamment le CE et le CMA.
Recommandation n° 1 :
La DPF en consultation avec les SMA des directions générales, devrait s'assurer que la politique ministérielle de gestion des risques et le guide connexe en cours 'élaboration :
- Établissent clairement les attentes minimales pour les directions générales en ce qui concerne les processus de risque au niveau de l'organisation et des programmes;
- Définissent et clarifient les rôles et responsabilités de la DGDPF en ce qui concerne l'autorité fonctionnelle sur les pratiques de gestion des risques au niveau de l'organisation et des programmes dans l'ensemble du Ministère;
- Créent un processus 'examen, 'évaluation et de rapport périodique sur l'état des pratiques de gestion des risques de Santé Canada au niveau de l'organisation et des programmes;
- Assure que les mises à jour sur la gestion des risques, y compris les résultats des examens annuels des PRO, sont intégrés comme des points permanents réguliers dans les ordres du jour des CE et des CMA.
Critère 2 – Processus de gestion des risques
Contexte
La gestion intégrée des risques soutient une approche continue, proactive et systématique de la gestion des risques à l'échelle de l'organisation. L'existence de processus cohérents de gestion des risques dans l'ensemble de l'organisation permet de colliger l'information sur les risques au niveau de l'organisation afin de mieux relever les défis auxquels elle est confrontée.
Cela nécessite des évaluations permanentes à tous les niveaux de l'organisation, ainsi que la capacité de regrouper et de communiquer ces résultats de façon cohérente et homogène.
L'officialisation et la normalisation des pratiques de gestion des risques dans l'ensemble du Ministère amélioreraient la capacité 'intégrer systématiquement l'information sur les risques aux fins 'examen et de prise de décisions par la haute direction. Cela faciliterait ensuite le suivi et la mise en œuvre des processus de gestion des risques au sein du Ministère.
Ce à quoi nous nous attendions
Nous nous attendions à ce que la gestion des risques à tous les niveaux soit soutenue par des processus, des orientations et des outils établis
Principales constatations
Le PRO est le principal outil ministériel de GIR pour établir les risques stratégiques au niveau de l'organisation qui pourraient affecter la réalisation du mandat du Ministère. Il permet de cibler les risques sur des cycles de trois ans, avec une exigence 'examens et de mises à jour annuels. Le PRO énonce un cadre pour la réalisation de la mission, fournit le contexte et la justification des risques, détermine les stratégies pour les atténuer et assigne aux directions générales des responsables pour planifier les mesures 'atténuation des risques individuels. Le cadre du PRO comprend des conseils sur la façon de mener l'exercice, ainsi que les exigences en matière de surveillance des risques et des réactions aux risques. Bien que les Comités de la haute direction n'aient pas examiné ou approuvé le PRO 2019 2022, un examen et une mise à jour annuels des réactions aux risques sont effectués dans le cadre des processus de planification ministérielle (PM) et de rapport ministériel sur les résultats (RMR). La DPMMR fait circuler le PRO de l'année précédente et demande aux gestionnaires supérieurs de la direction générale de déterminer les nouveaux risques à prendre en compte dans la mise à jour du PRO. Nous constatons que, à l'exception 'un sixième risque associé à la pandémie de COVID 19 qui a été proposé par le Comité ministériel 'audit, les risques du PRO sont demeurés relativement inchangés depuis le cycle triennal précédent du PRO.
Au niveau des directions générales, les pratiques de gestion des risques sont généralement incluses dans les processus de planification opérationnelle et de production de rapports. Les personnes interrogées ont indiqué que la gestion des risques est considérée de manière informelle dans le cadre de réunions bilatérales ou multilatérales périodiques et continues entre les DG, les directeurs et les gestionnaires. L'équipe 'audit a examiné un échantillon de plans opérationnels de directions générales et de directions et a constaté que les priorités et les risques associés étaient déterminés par les processus de planification. Cependant, les plans opérationnels variaient dans leur forme et leur contenu. Par exemple, certains plans ont été consolidés et présentés au niveau de la direction générale et, dans 'autres cas, les plans individuels des directions ont été utilisés comme outils pour prendre en compte les risques. Certains plans de direction étaient directement liés au PRO ou à 'autres risques ciblés, tandis que 'autres ne reliaient pas les priorités ou les risques au PRO. Chacune des directions au sein des directions générales a élaboré ou est en train 'élaborer son propre modèle de plans opérationnels qui visent à démontrer plus efficacement comment les priorités sont liées aux risques et comment le risque est pris en compte dans les processus de planification.
Bien que les risques soient pris en compte dans les processus de planification opérationnelle et 'établissement de rapports, il n'y a guère de preuves de l'existence de cadres ou de processus formels et systématiques au niveau des directions générales pour cibler les risques, attribuer des niveaux de risque, des réactions aux risques ou surveiller les risques (par exemple, utilisation de modèles, de registres de risques, 'échelles de risques, de « carte de densité », de matrices de tolérance au risque, etc.). La raison pour laquelle les registres de risques des directions générales n'étaient plus nécessaires et n'étaient pas systématiquement élaborés ou tenus à jour n'est pas claire. Dans les cas où des risques associés aux directions générales ont été relevés, ils reflétaient principalement les risques du PRO avec peu de contexte ou 'information supplémentaire. Nous constatons que certaines directions générales entreprennent des initiatives 'amélioration de la gestion des risques, telles que l'élaboration de leurs propres cadres et processus de gestion des risques, plus formalisés.
Le Ministère n'offre pas actuellement 'initiatives de formation formelles liées à la gestion des risques et les directives sur le site Web sont limitées. Les personnes interrogées ont indiqué que la gestion des risques est pratiquée intuitivement et implicitement au quotidien, et que la prise en compte des risques guide toutes les décisions. Malgré cela, les personnes interrogées au niveau des directions générales ont exprimé le souhait 'obtenir une formation ou une orientation sur les concepts de gestion des risques et leur application pratique, les types de risques à prendre en compte et la façon de relier leurs environnements de risque spécifiques et les décisions associées au cadre ministériel et au PRO.
L'absence de processus formels, normalisés et systémiques, de méthodologies associées et 'outils pour des pratiques de gestion des risques efficaces :
- Nuit à la détermination et à l'évaluation objectives des risques;
- Inhibe la capacité à mettre à jour les niveaux de risque et à démontrer l'efficacité des réactions aux risques et leur incidence;
- Compromets la qualité et l'exhaustivité des risques prises en compte au niveau des directions générales, limitant la visibilité des risques émergents et la capacité à mettre à jour et à intégrer efficacement l'information sur les risques au niveau des directions générales et de l'organisation;
- Augmente les inefficacités et le dédoublement des efforts des différentes directions générales qui élaborent leurs propres cadres et processus de gestion des risques.
L'absence 'initiatives de formation, jumelée à des indications restreintes ou obsolètes sur le site Web, peut également entraver la capacité des responsables de risques et du personnel à gérer les risques conformément aux attentes de la politique.
Conclusion
Au niveau de l'organisation, Santé Canada a élaboré et mis en œuvre des outils et des méthodologies pour cibler et évaluer les risques de niveau stratégique dans le PRO. Au niveau des directions générales, la gestion des risques est prise en compte dans les processus de planification opérationnelle, mais le Ministère n'a pas formalisé ou normalisé les processus et les résultats spécifiques à la gestion des risques pour les directions générales telles que :
- Des normes minimales pour la détermination des risques et l'attribution de niveaux de risque (c'est à dire des outils/des modèles/des méthodologies);
- La définition et la communication des tolérances et des seuils de risque et leur mise en relation avec les niveaux de risque et les réactions prévues.
L'élaboration et la mise en œuvre 'initiatives ciblées de formation et de sensibilisation à la gestion des risques appuieraient des approches plus communes et normalisées de la gestion des risques au niveau des programmes et amélioreraient la gestion des risques au sein du Ministère.
Recommandation n° 2 :
La DPF, en consultation avec les chefs des directions, devrait élaborer des procédures et des outils officiels de gestion des risques qui favorisent des pratiques normalisées de gestion des risques au niveau du Ministère et des programmes. Pour s'assurer que les attentes sont comprises et que les activités sont mises en œuvre de façon cohérente, la DGDPF devrait collaborer avec les chefs de direction pour :
- Élaborer et communiquer des processus de détermination et 'évaluation des risques au niveau du programme qui désignent les principales parties prenantes, les responsabilités associées et les échéances;
- Élaborer et communiquer des catégories de risques normalisées à prendre en compte dans la détermination des risques du programme;
- Exiger que les registres de risque des directions générales pour inclure les considérations et l'assurance des risques aux opérations, ainsi que ceux qui figurent dans les PRO;
- Assurer que les registres de risques sont étroitement alignés et informent l'examen annuel et le processus de mise à jour du PRO;
- Prêter conseils sur l'établissement de niveaux de tolérance au risque et les relier aux activités de réponses aux risques et de surveillance;
- Élaborer et mettre en œuvre des initiatives de formation et de sensibilisation informés par l'examen périodique des pratiques ministérielles de gestion des risques.
Critère 3 – Surveillance
Contexte
La surveillance continue des risques est essentielle pour garantir que l'information sur les risques demeure pertinente. L'examen périodique de l'information sur les risques et des mesures 'atténuation des risques permettent de s'assurer que les facteurs environnementaux évolutifs sont pris en compte. Il permet également de s'assurer que les réactions aux risques conçues pour traiter les problèmes nuisant à l'organisation sont effectivement mises en œuvre et produisent les résultats prévus.
Les activités de surveillance permettent également de cerner les nouvelles sphères et activités qui requièrent une attention particulière, et de soutenir l'amélioration continue de la gestion des risques dans l'ensemble de l'organisation.
Ce à quoi nous nous attendions
Nous nous attendions à trouver des processus systématiques en place pour surveiller les risques et les activités de gestion des risques et en rendre compte, et à ce que ces processus intègrent et utilisent l'information relative aux risques pour la prise de décisions.
Principales conclusions
Au niveau de l'organisation, les risques sont surveillés en permanence par l'entremise de mises à jour périodiques et de présentations aux comités de la haute direction concernant les initiatives clés et les grands projets. Les activités des directions générales et les risques sous jacents sont liés aux responsabilités et aux priorités essentielles énoncées dans le plan ministériel (PM) et le Rapport sur les résultats ministériels (RRM). Au niveau des directions générales, les réactions aux risques et les risques sous jacents sont surveillés par moyen de réunions et de discussions bilatérales informelles entre les gestionnaires, les directeurs et les DG. Ils sont également surveillés lors des examens semestriels et de fin 'année des plans opérationnels qui comprennent, à différents degrés, des aperçus et des présentations de tableaux de bord aux Comités exécutifs de la Direction générale. Ces discussions servent également à intégrer verticalement les informations sur les risques au sein du ministère.
Cependant, comme les processus de gestion des risques dans les directions générales ne sont pas formalisés, il n'y avait pas 'approche systématique pour surveiller la gestion des risques au niveau des directions générales. Plus précisément, les risques et les niveaux de risque au niveau des directions générales n'étaient pas documentés, et il n'y avait pas 'indicateurs tangibles pour démontrer que les réactions aux risques produisent les résultats prévus. Ce manque de formalité peut empêcher la direction de s'assurer que les pratiques de gestion des risques et les mesures 'atténuation des risques sont appliquées efficacement, ainsi que de :
- Répartir efficacement les efforts et les ressources;
- Tenir compte de l'évolution des facteurs environnementaux sur les réactions existantes aux risques;
- Évaluer l'évolution des risques au fil du temps et se faire une idée des risques émergents;
- S'assurer que la surveillance est exercée au niveau de gestion et à la fréquence appropriés pour soutenir des ajustements adéquats et en temps voulu.
Conclusion
Bien que le Ministère ait mis en place des mécanismes pour surveiller la gestion des risques à l'échelle de l'organisation, il n'existe pas 'approche officielle ou systématique dans les directions générales pour le faire. Dans l'absence 'examens réguliers de l'information sur les risques, c'est difficile de déterminer si les pratiques et le Une approche plus systématique augmenterait la capacité des cadres supérieurs à évaluer et à démontrer dans quelle mesure les pratiques de gestion des risques et les mesures 'atténuation des risques à tous les niveaux de l'organisation produisent les résultats prévus. Des indicateurs du rendement qui identifient le nombre de risques, leur fréquence, et le pourcentage des risques qui sont atténués permettront au Ministère de déterminer l'efficacité des stratégies 'atténuation des risques et la façon dont elles affectent l'organisation et aident à assurer que les activités de surveillance des risques sont alignées avec les niveaux et les tolérances des risques.
Recommandation n° 3
La DPF, en consultation avec les chefs de directions générales, devrait établir des processus de surveillance et 'évaluation des risques aux niveaux du Ministère et des directions générales afin 'évaluer et de démontrer l'efficacité des activités de gestion des risques au sein du Ministère et 'assurer que les risques et leurs réponses connexes sont examinés et mises à jour périodiquement. Des éléments qui aideront dans l'élaboration de ces processus incluront l'identification et l'examen des suivants :
- Le nombre de risques, s'ils ont eu lieu et s'ils ont été atténués;
- Les changements à la nature et au niveau des risques ainsi que les réponses connexes en raison de nouvelles circonstances;
- Le progrès dans la mise en œuvre des réponses aux risques;
- Les coûts de la mise en œuvre de mesures 'atténuation des risques.
Annexe A – Carte de pointage
| Critère | Cote de risque | Risques résiduels ou occasions ratées sans mise en œuvre de la recommandation | Nodossier |
|---|---|---|---|
Gouvernance Il existe un cadre de gouvernance efficace pour soutenir la GIR dans l'ensemble du Ministère. |
3 – Risque modéré | Les exigences minimales pour la mise en œuvre des processus, l'utilisation des outils et les résultats de la gestion des risques :
|
1 |
Processus La gestion des risques est soutenue à tous les niveaux par des processus, des orientations et des outils établis. |
3 – Risque modéré | L'absence de processus, de méthodologies et d'outils plus formels, normalisés et systémiques pour la détermination des risques, l'évaluation des niveaux de risque, la détermination des réactions aux risques, associée à une absence d'exigences minimales pour les résultats de la gestion des risques au niveau de la direction générale, peut entraîner :
|
2 |
Surveillance Des processus systématiques sont en place pour surveiller les risques et les activités de gestion des risques et en rendre compte, ainsi que pour intégrer et utiliser efficacement l'information sur les risques dans le processus décisionnel. |
3 – Risque modéré | L'absence d'un suivi périodique des risques et d'évaluation des pratiques de gestion des risques peut entraver la capacité de la direction à :
|
3 |
Détails de la page
- Date de modification :