Audit des pratiques de gestion des risques de RNCan

Présenté au Comité ministériel d’audit (CMA)

13 février 2025

Sur cette page

• Résumé
  • Introduction
  • Points forts
  • Domaines à améliorer
  • Conclusion de l’audit interne et opinion
  • Énoncé de conformité
• Introduction
  • But et objectifs de l’audit
  • Facteurs pris en considération lors de l’audit
  • Portée
  • Approche et méthodologie
  • Critères
• Constatations et recommandations
  • Gouvernance et surveillance
  • Communication et coordination
  • Gestion des risques au sein des secteurs
• Annexe A – Critères d’audit

Résumé

Introduction

La gestion des risques^{Note de bas de page 1} est une approche systématique visant à déterminer la meilleure voie à suivre dans l’incertitude en déterminant, évaluant, comprenant, communiquant les enjeux liés aux risques, et en prenant des décisions connexes. Des pratiques efficaces de gestion des risques permettent aux organismes de prendre des décisions éclairées dans des environnements et des paysages à risque en évolution rapide. Elles contribuent également à favoriser une culture positive du risque dans l’organisme, qui permet aux individus de prendre régulièrement en compte l’incidence du risque sur leurs activités quotidiennes et d’intégrer les principes de gestion des risques dans leur travail. La culture du risque^{Note de bas de page 2} désigne les attitudes et les comportements d’un organisme qui sont associés à la gestion du risque. Cela comprend des éléments tels que la question de savoir si une organisation considère la gestion des risques comme un élément inhérent à une bonne prise de décision, ou simplement comme une exigence en matière de rapports, si un organisme tend à être une aversion au risque, ou si elle considère les risques comme incluant des occasions possibles et si la gestion des risques est intégrée à tous les niveaux d’un organisme, ou est un processus descendant uniquement. L’appétit pour le risque^{Note de bas de page 3} est une description générale du type et de la quantité de risques qu’un organisme est prêt à poursuivre ou à accepter dans la réalisation de ses objectifs. Il est généralement établi par la haute direction. La tolérance au risque est la gamme de résultats acceptables précisés dans l’appétit pour le risque de l’organisme. La tolérance au risque indique la sensibilité aux risques d’un organisme, d’un projet ou d’un programme. Elle est généralement déterminée au niveau du projet et du programme.

Au gouvernement du Canada, les activités de gestion des risques sont orientées par le Cadre stratégique de gestion du risque (le Cadre) du Conseil du Trésor (CT), et le Guide de gestion intégrée du risque – une approche recommandée pour l’élaboration d’un profil de risque organisationnel (PRO). Ce cadre et les directives connexes sont entrés en vigueur le 27 août 2010. Même si le Cadre et l’orientation connexe fournissent une orientation aux ministères pour veiller à ce que les organismes gèrent efficacement le risque, les ministères ne sont pas tenus de se conformer à ces instruments. En juin 2023, le PRO de 2023-2026 de RNCan a été officiellement approuvé par la haute direction. Le PRO est destiné à être utilisé pour éclairer les activités décisionnelles du Ministère en ce qui a trait à l’établissement des priorités, à l’orientation stratégique et à l’affectation des ressources.

À Ressources naturelles Canada (RNCan), la Division de la planification stratégique, des risques et des rapports (DPSRR) à la Direction de la planification, de la livraison et des résultats du Secteur de la politique stratégique et innovation (SPSI) est chargée d’appuyer la mise en œuvre des pratiques de gestion des risques organisationnels au Ministère. Les secteurs sont responsables de la mise en œuvre des processus de gestion des risques au niveau sectoriel et des programmes, le cas échéant, pour leurs activités quotidiennes. La DPSRR est à mettre à jour le Cadre stratégique ministériel de gestion intégrée du risque. La version précédente du Cadre stratégique de gestion intégrée du risque de RNCan est entrée en vigueur en juin 2015.

Alors que la DPSRR supervise les secteurs et leur fournit une orientation sur les risques globaux de RNCan, les secteurs désignés comme responsables des risques lors de l’élaboration du PRO sont chargés de gérer et surveiller leurs domaines de risque respectifs, et d’en rendre compte. Au-delà du PRO, le personnel du secteur et du programme est responsable de la gestion des risques dans leurs domaines respectifs, y compris l’identification, l’évaluation, la gestion et le suivi des risques. À cette fin, le personnel du secteur et du programme est chargé de mettre en œuvre ses propres pratiques, outils et conseils en matière de gestion des risques.

L’objectif du présent audit était d’évaluer si le Ministère a mis en place des processus efficaces pour assurer la mise en œuvre et l’intégration de principes solides de gestion du risque à l’appui de l’atteinte de ses objectifs.

Points forts

Dans l’ensemble, le Ministère dispose de comités de gouvernance chargés de superviser la gestion intégrée des risques, et de donner une orientation stratégique connexe. Ces comités servent également de mécanismes de communication et de collaboration pour les discussions horizontales sur les risques au niveau de la haute direction. Il existe des orientations stratégiques pour la gestion des risques organisationnels, y compris un profil de risque organisationnel qui décrit les risques stratégiques et opérationnels auxquels le Ministère est confronté, la version préliminaire du Cadre de gestion intégrée du risque pour orienter l’établissement et la gestion du profil de risque organisationnel et celle de la Stratégie de gestion des risques organisationnels qui décrit l’approche globale du Ministère en matière de gestion des risques. Certains principes de gestion des risques sont appliqués dans les secteurs et sont formalisés et plus évidents pour les programmes de paiement de transfert afin de répondre aux exigences du processus de présentation au Conseil du Trésor.

Domaines à améliorer

Il y a des possibilités de renforcer la culture du risque du Ministère en établissant l’appétit et la tolérance au risque du Ministère, en précisant les rôles et les responsabilités des principaux intervenants en matière de gestion du risque au Ministère, en mettant au point et en communiquant des documents d’orientation pour la gestion du risque du Ministère et en tirant parti des ressources et des documents de formation en gestion du risque existants pour sensibiliser, renforcer les capacités et mieux outiller les employés dans l’application des principes de gestion du risque dans les activités quotidiennes.

Puisque le Ministère n’aborde pas ces domaines à améliorer, il peut ne pas être en mesure de déterminer, d’évaluer et d’atténuer en temps opportun les risques existants, nouveaux et émergents, ce qui risque d’empêcher le Ministère à atteindre ses objectifs.

Conclusion de l’audit interne et opinion

À mon avis, le Ministère a mis en place des mécanismes et des processus de gouvernance pour appuyer la mise en œuvre et l’intégration des principes de gestion du risque, y compris plusieurs documents et outils stratégiques et d’orientation pour la gestion du risque au Ministère. Il y a également une coordination et une collaboration au Ministère pour l’élaboration de ces documents et outils. L’audit a permis de déterminer des occasions de renforcer la culture du risque du Ministère et de formaliser et de communiquer les principes de gestion du risque que les employés peuvent appliquer dans leurs activités quotidiennes au-delà de l’exercice du Profil de risque organisationnel.

Afin d’établir une culture ministérielle solide qui est consciente du risque et considère la gestion du risque comme un élément inhérent à la prise de décisions judicieuses, RNCan doit s’assurer d’anticiper et de planifier les répercussions des événements négatifs qu’il prévoit. La gestion du risque ne peut pas être effectuée en cloisons, ni uniquement de manière descendante ou ascendante. Il est nécessaire d’éviter un décalage entre les risques organisationnels et l’opérationnalisation de la gestion du risque au niveau opérationnel, ce qui peut empêcher le Ministère de réagir aux risques nouveaux et émergents à l’horizon, de les anticiper et de s’y préparer activement. Le risque ne doit pas être pris en compte uniquement en fonction de la probabilité et de l’incidence; le Ministère doit tenir compte de la vitesse du risque, la vitesse à laquelle une exposition au risque peut avoir une incidence négative sur le Ministère. La réactivité plutôt que la proactivité face aux événements à risque lorsqu’ils se produisent peut exposer le Ministère à des répercussions liées à des événements à risque connus et inconnus qui pourraient se produire.

La définition et la communication de la tolérance au risque et de l’appétit pour le risque sont essentielles pour favoriser une culture proactive de gestion du risque, assurer l’harmonisation stratégique et établir la confiance des intervenants. En formulant clairement ces concepts, le Ministère peut traverser plus efficacement les incertitudes et améliorer sa résilience globale et son adaptabilité au changement. L’absence de tolérance au risque et d’appétit pour le risque clairement définis peut entraîner des défis et des résultats préjudiciables. Sans ces cadres essentiels, les décideurs pourraient avoir du mal à évaluer efficacement les risques potentiels, ce qui entraînerait des approches incohérentes en matière de gestion du risque au Ministère.

Énoncé de conformité

Mon opinion professionnelle, en tant que dirigeant principal de l’audit et de l’évaluation, est que l’audit est conforme aux normes internationales pour la pratique professionnelle de l’audit interne de l'Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats de la supervision de l'engagement et du programme d’assurance et d’amélioration de la qualité.

Michel Gould, MBA, CPA, AIC

Dirigeant principal de l’audit et de l’évaluation

13 février 2025

Remerciements

L’équipe d’audit souhaiterait remercier les personnes qui ont participé à ce projet, en particulier les employés qui ont apporté leurs points de vue et leurs commentaires dans le cadre du présent audit.

Introduction

La gestion des risques^{Note de bas de page 4} est une approche systématique visant à déterminer la meilleure voie à suivre dans l’incertitude en cernant, en évaluant, en comprenant, en communiquant les enjeux liés aux risques, en prenant des décisions sur les enjeux liés aux risques et en communicant ceux-ci. Des pratiques efficaces de gestion des risques permettent aux organismes de prendre des décisions éclairées dans des environnements et des paysages à risque en évolution rapide. Elles contribuent également à favoriser une culture solide du risque dans l’organisme, qui permet aux personnes de prendre régulièrement en compte l’incidence du risque sur leurs activités quotidiennes et d’intégrer les principes de gestion des risques dans leur travail. Dans l’administration de la fonction publique, des pratiques efficaces de gestion du risque contribuent à une meilleure répartition du temps et des ressources, ce qui, en fin de compte, donne de meilleurs résultats aux Canadiens. La culture du risque^{Note de bas de page 5} désigne les attitudes et les comportements d’un organisme qui sont associés à la gestion du risque. Cela comprend des éléments tels que la question de savoir si une organisation considère la gestion des risques comme un élément inhérent à une bonne prise de décision, ou simplement comme une exigence en matière de rapports, si un organisme tend à être une aversion au risque, ou si elle considère les risques comme incluant des occasions possibles, et si la gestion des risques est intégrée à tous les niveaux d’un organisme, ou est un processus descendant uniquement. L’appétit pour le risque^{Note de bas de page 6} est une description générale du type et de la quantité de risques qu’un organisme est prêt à poursuivre ou à accepter dans la réalisation de ses objectifs. Il est généralement établi par la haute direction. La tolérance au risque est la gamme de résultats acceptables précisés dans l’appétit pour le risque de l’organisme. La tolérance au risque indique la sensibilité aux risques d’un organisme, d’un projet ou d’un programme. Elle est généralement déterminée au niveau du projet et du programme.

Au gouvernement du Canada, les activités de gestion des risques sont orientées par le Cadre stratégique de gestion du risque (le Cadre) du Conseil du Trésor (CT), et le Guide de gestion intégrée du risque – une approche recommandée pour l’élaboration d’un profil de risque organisationnel (PRO). Ce cadre et les directives connexes sont entrés en vigueur le 27 août 2010. Même si le Cadre et l’orientation connexe fournissent une orientation aux ministères pour veiller à ce que les organismes gèrent efficacement le risque, les ministères ne sont pas tenus de se conformer à ces instruments.

À Ressources naturelles Canada (RNCan), la Division de la planification stratégique, des risques et des rapports (DPSRR) à la Direction de la planification, de la livraison et des résultats du Secteur de la politique stratégique et innovation (SPSI) est chargée d’appuyer la mise en œuvre des pratiques de gestion des risques organisationnels au Ministère. La DPSRR appuie diverses activités de gestion du risque, notamment l’élaboration et la mise en œuvre du PRO, la rédaction d’un Cadre stratégique ministériel de gestion intégrée du risque, l’examen du risque au niveau ministériel dans les dossiers clés relatifs à l’établissement de rapports, ainsi que l’examen fonctionnel des présentations au CT et les mémoires au Cabinet du point de vue du risque. Toutes ces mesures visent à appuyer les éléments favorisant une culture du risque solide qui imprègne toutes les activités de RNCan.

En juin 2023, le PRO de 2023-2026 de RNCan a été officiellement approuvé par la haute direction. Le PRO a été élaboré en collaboration avec les secteurs de RNCan, les comités de gouvernance ministérielle et la haute direction. Il décrit les principaux risques stratégiques et opérationnels du Ministère, ainsi que les responsabilités, les contrôles existants, et les stratégies d’atténuation prévues. À l’appui du PRO, RNCan a élaboré et testé une approche de surveillance des risques qui appuiera le processus de planification intégrée des activités. En même temps, les responsables des risques sont directement engagés pour obtenir une perspective complète de chaque risque, y compris l’état de la mise en œuvre des stratégies d’atténuation dans l’ensemble du Ministère. Le PRO est destiné à être utilisé pour éclairer les activités décisionnelles du Ministère en ce qui a trait à l’établissement des priorités, à l’orientation stratégique et à l’affectation des ressources.

De plus, la DPSRR est à mettre à jour le Cadre stratégique ministériel de gestion intégrée du risque. La version précédente du Cadre stratégique de gestion intégrée du risque de RNCan est entrée en vigueur en juin 2015. Pour gérer efficacement le risque, les organismes peuvent élaborer et mettre en œuvre un cadre de gestion du risque qui définit les rôles et les responsabilités, organise les activités, définit les affectations de ressources, et décrit les mécanismes de production de rapports et de surveillance. Le cadre de gestion du risque d’un organisme fournit les conseils nécessaires pour s’assurer que les risques sont gérés de façon proactive à tous les niveaux et dans toutes les activités et fonctions importantes de l’organisme.

Alors que la DPSRR supervise les secteurs et leur fournit une orientation sur les risques globaux de RNCan, les secteurs désignés comme responsables des risques lors de l’élaboration du PRO sont chargés de gérer et surveiller leurs domaines de risque respectifs, et d’en rendre compte. Au-delà du PRO, le personnel du secteur et du programme est responsable de la gestion des risques dans leurs domaines respectifs, y compris l’identification, l’évaluation, la gestion et le suivi des risques. À cette fin, le personnel du secteur et du programme est chargé de mettre en œuvre ses propres pratiques, outils et conseils en matière de gestion des risques.

Cet audit a été inclus dans le Plan intégré d’audit et d’évaluation 2023-2028, qui a été approuvé par le sous-ministre le 25 avril 2023.

But et objectifs de l’audit

L’objectif du présent audit était d’évaluer si le Ministère a mis en place des processus efficaces pour assurer la mise en œuvre et l’intégration de principes solides de gestion des risques à l’appui de l’atteinte de ses objectifs.

Plus particulièrement, l’audit a évalué si :

• le Ministère a mis en place des mécanismes de gouvernance adéquats et efficaces pour appuyer l’intégration des pratiques et des principes de gestion du risque dans l’ensemble du Ministère;
• le Ministère dispose de pratiques adéquates et efficaces pour favoriser la communication et la coordination des principes et des activités de gestion du risque dans l’ensemble du Ministère; et
• de solides principes de gestion du risque sont appliqués efficacement dans les secteurs.

Facteurs pris en considération lors de l’audit

On a eu recours à une approche axée sur les risques pour définir les objectifs, la portée et la démarche de cette mission d’audit. Voici un résumé des principaux risques sous-jacents cernés au cours de la phase de planification :

• Des mécanismes de gouvernance adéquats et efficaces sont nécessaires pour faciliter les discussions stratégiques et opérationnelles sur les risques et l’échange de renseignements à tous les niveaux du Ministère;
• des rôles, responsabilités et obligations de rendre compte adéquats sont nécessaires pour s’assurer que toutes les parties sont conscientes de leurs attentes en matière de gestion des risques;
• une formation et une orientation adéquates sont essentielles pour s’assurer que les concepts de gestion du risque sont bien compris et peuvent être intégrés à tous les niveaux du Ministère;
• des processus de coordination efficaces sont nécessaires pour permettre l’échange et la collecte adéquats des renseignements pertinents sur les risques dans l’ensemble du Ministère;
• les mécanismes de communication sont nécessaires pour permettre l’utilisation de renseignements clés afin d’appuyer la prise de décisions en temps opportun;
• Des outils et des orientations efficaces doivent être présents pour garantir que les représentants du secteur sont en mesure d’intégrer les principes de gestion des risques appropriés dans leurs projets et programmes.

Portée

La portée de cet audit était axée sur les activités et les processus à l’appui des pratiques de gestion du risque de RNCan, entre mai 2022 et juin 2024, en mettant l’accent sur les activités plus récentes. L’audit a examiné les mécanismes de gouvernance, les pratiques de communication et de coordination, ainsi que la formation, l’orientation et les outils en soutien aux pratiques de gestion des risques de RNCan. L’audit n’a pas permis de conclure à la pertinence de risques particuliers et individuels dans le PRO ou dans le cadre d’autres activités ministérielles de gestion des risques, mais plutôt à l’existence et à la pertinence des processus eux-mêmes. De plus, l’audit n’a pas évalué l’adéquation des mesures d’atténuation qui ont été établies et mises en œuvre pour gérer les risques individuels cernés.

Les résultats des projets d’audit et d’évaluation antérieurs sur des sujets connexes ont été examinés afin d’éclairer l’audit et de réduire le chevauchement des efforts.

Un échantillon discrétionnaire de secteurs et de programmes a été sélectionné pour une analyse détaillée, garantissant ainsi un examen approfondi tout en optimisant les ressources et en se concentrant sur les domaines de répercussions importantes au sein du Ministère.

Cet audit n’a pas examiné les propres contributions de la DAE à la gestion des risques à RNCan. Cette exclusion était nécessaire pour maintenir l’objectivité et l’indépendance requises pour une évaluation impartiale des pratiques de gestion des risques de l’organisation.

Approche et méthodologie

L’approche et la méthodologie adoptées respectaient les normes internationales pour la pratique professionnelle de l’audit interne de l'Institut des auditeurs internes et la Politique sur l’audit interne du gouvernement du Canada. Ces normes exigent que l’audit soit planifié et exécuté de manière à donner l’assurance raisonnable que les objectifs de l’audit sont atteints. L’audit comportait divers tests jugés nécessaires pour offrir une telle assurance. Les auditeurs internes ont fait preuve d’impartialité et d’objectivité, comme l’exigent les normes internationales pour la pratique professionnelle des audits internes.

L’audit comprenait les tâches clés suivantes :

1. des entrevues avec le personnel clé du SPSI et une sélection de responsables des risques;
2. la réalisation d’un sondage à l’échelle du Ministère sur la gestion des risques auprès de tous les employés afin d’obtenir leur point de vue sur la gestion des risques et d’analyser les tendances en matière de sensibilisation à la gestion des risques. Le sondage a été envoyé à tous les employés à l’exception du personnel de la DAE (environ 5 700 employés). Il a été réalisé sur une période de 30 jours et a reçu 480 réponses (taux de réponse de 8,4 %);
3. un examen des documents clés et certains processus opérationnels à l’appui de la gestion des risques, y compris le profil de risque organisationnel, le projet de cadre intégré de gestion des risques et la version préliminaire de la stratégie de gestion des risques organisationnels;
4. un examen de l’orientation et des documents de formation sur la gestion des risques du Secrétariat du Conseil du Trésor du Canada et de l’École de la fonction publique du Canada;
5. la sélection d’un échantillon de secteurs à inclure pour l’entrevue et l’examen des documents. Les échantillons sélectionnés comprennent des représentants des trois grands secteurs scientifiques 1) au niveau sectoriel pour la gestion globale des risques du secteur, et 2) au niveau opérationnel pour la gestion des risques du programme.

L’étape d’exécution de cet audit a été essentiellement réalisée en septembre 2024.

Critères

Les critères de l’audit sont présentés en détail à l’Annexe A. Le travail d’audit sur le terrain et la conclusion globale de l’audit reposent sur ces critères.

Constatations et recommandations

Gouvernance et surveillance

Constatation générale

Dans l’ensemble, le ministère a mis en place des mécanismes de gouvernance pour soutenir l’intégration des pratiques et des principes de gestion des risques dans l’ensemble du Ministère. La haute direction est bien engagée dans les discussions et les décisions relatives aux risques pour l’élaboration et le suivi du profil de risque organisationnel. En plus de leur rôle actuel, les mécanismes de gouvernance pourraient être mieux exploités en définissant les rôles et responsabilités des acteurs clés en matière de gestion des risques au sein du Ministère. Le Ministère a élaboré un profil de risque organisationnel pour exposer les risques stratégiques et opérationnels auxquels il est confronté, la version préliminaire du Cadre de gestion intégrée du risque pour guider l’établissement et la gestion du profil de risque organisationnel et une ébauche de la Stratégie ministérielle de gestion du risque pour décrire l’approche et la structure procédurale du Ministère en matière de gestion du risque. Il est nécessaire de réduire au minimum ces documents d’orientation dans l’ensemble du Ministère en tant qu’outils pour la prise de décision éclairée. Il y a également une occasion d’établir et de communiquer l’appétit pour le risque et les niveaux de tolérance au risque du Ministère afin d’éclairer l’élaboration de stratégies appropriées de réduction des risques. Enfin, il y a une occasion d’établir, de documenter et de communiquer une méthodologie standard et cohérente pour la détermination et l’évaluation des risques à utiliser pour l’élaboration des exercices d’établissement du profil de risque organisationnel (PRO) et de suivi des risques associés au PRO.

Observations pertinentes

Des mécanismes de gouvernance adéquats et efficaces soutiennent l’intégration des pratiques et des principes de gestion des risques dans l’ensemble du Ministère. L’audit a permis de déterminer si des mécanismes efficaces de gouvernance et de surveillance ont été établis, sont clairement définis et sont utilisés à bon escient pour faciliter les discussions sur les risques stratégiques à tous les niveaux du Ministère, si les rôles, les responsabilités et les obligations de rendre compte en matière de gestion des risques sont clairement définis, documentés et communiqués, si des directives ministérielles et stratégiques adéquates ont été établies au sein du Ministère pour guider les employés dans l’application des principes de gestion des risques et si cette orientation est conforme aux autres rapports ministériels.

Gouvernance et surveillance

Pour faciliter les discussions horizontales sur la gestion des risques, le Ministère s’appuie sur plusieurs comités de gouvernance établis, notamment le Comité de la haute direction (CHD), le Comité des politiques des sous-ministres adjoints (CPSMA), le Comité des opérations des sous-ministres adjoints (COPSMA), le Comité des politiques des directeurs généraux (CPDG), le Comité de planification et de rapports (CPR) et le Réseau de planification ministériel (RPM).

Le Comité de la haute direction (CHD) est le comité délibératif et décisionnel de plus haut niveau de RNCan où ont lieu les discussions sur les risques. Le CHD établit les orientations stratégiques et les priorités du Ministère, supervise la planification et la gestion horizontale des activités et des ressources ministérielles, et se concentre sur les réalisations et les risques en matière de résultats tout en assurant l’intégration des politiques, de la science, des programmes et l’intégration ministérielle.

Le Comité de politique des SMA agit en tant que tribune de surveillance et de consultation qui examine les propositions de politique ministérielle afin de garantir leur uniformité avec les plans et les priorités du ministère, leur harmonisation sur l’orientation du gouvernement du Canada et l’intégration de toutes les perspectives sectorielles. Ce comité tient des réunions conjointes avec le Comité de direction des opérations des SMA sur l’élaboration d’outils de cadre de gestion des risques, tels que l’exercice d’établissement du PRO et du Plan d’activités intégré (PAI).

Le Comité de politique des DG soutient le Comité des politiques des SMA en établissant les priorités horizontales en matière de politique, en renforçant les liens entre les politiques intersectorielles et en coordonnant les exercices d’établissement des politiques interdépartementales tels que les budgets, la planification à moyen terme et la mobilisation internationale et nationale. Un exercice de vote a été réalisé au sein de ce comité afin de cerner les risques stratégiques et opérationnels du Ministère pour le profil de risque organisationnel. Le Comité de planification et de rapports (CPR) est un organe consultatif et décisionnel au niveau des DG qui joue un rôle de surveillance dans le processus intégré de planification et de production de rapports de RNCan. Les membres du comité se réunissent tous les mois et comptent des représentants de tous les secteurs. Il s’agit de l’organe de gouvernance principal ayant un mandat défini pour assurer la supervision de la planification et de la production de rapports intégrées, y compris l’examen des risques organisationnels. Le profil de risque organisationnel a été approuvé par ce comité avant d’être diffusé à d’autres comités aux fins de commentaires et d’approbation.

Le Réseau de planification ministériel est un organe consultatif informel composé d’un réseau collaboratif d’employés de divers secteurs et de divers niveaux qui se réunissent chaque mois pour formuler des commentaires sur les approches proposées à l’égard de la mise en œuvre des cadres ministériels clés et pour échanger les pratiques exemplaires en matière de planification et de production de rapports. Il s’agit du seul organisme de gouvernance ministérielle chargé de la planification et de la production de rapports qui réunit les représentants du secteur au niveau opérationnel. La version préliminaire du profil de risque organisationnel a été présentée au RPM, et des commentaires ont été sollicités sur le cadre de surveillance des risques.

L’équipe d’audit a constaté que ces comités de gouvernance existants servent de mécanismes de surveillance au sein du Ministère et servent à faciliter les discussions stratégiques sur les risques à tous les niveaux, des DG et des SMA. Les comités de gouvernance ont également examiné, apporté leur éclairage et approuvé les documents stratégiques et d’orientation du Ministère en matière de gestion des risques.

Rôles et responsabilités

Pour gérer efficacement les risques, les organes peuvent élaborer et mettre en œuvre un cadre de gestion du risque qui définit les rôles et les responsabilités, organise les activités, définit les affectations de ressources, et décrit les mécanismes de production de rapports et de surveillance. L’équipe d’audit a constaté qu’il existe des rôles et des responsabilités définis dans les documents stratégiques et d’orientation suivants relativement à la gestion des risques : le profil de risque organisationnel, le projet de cadre intégré de gestion des risques et la version préliminaire de la stratégie de gestion des risques organisationnels. Le profil de risque organisationnel expose les risques stratégiques et opérationnels auxquels le ministère est confronté. La version préliminaire du Cadre de gestion intégrée du risque guide l’élaboration et la gestion du profil de risque organisationnel. La version préliminaire de la stratégie de gestion des risques organisationnels en cours d’élaboration vise à fournir une approche coordonnée à l’échelle du ministère pour la gestion des risques.

Tous les trois documents décrivent les rôles et responsabilités des principaux acteurs, y compris les rôles et responsabilités du sous-ministre, des responsables principaux et secondaires des risques, ainsi que de tous les autres secteurs (en tant que non-responsables). L’équipe d’audit a constaté que la description des rôles et responsabilités était au niveau des secteurs, ce qui laisse entendre que le sous-ministre adjoint (SMA) de ce secteur serait ultimement responsable. Toutefois, les documents ne fournissent pas de détails supplémentaires sur le fait que des groupes et des directions spécifiques au sein du secteur sont responsables de la surveillance des facteurs de risque et de la mise en œuvre des réponses aux risques. L’équipe d’audit a également constaté qu’il n’y avait aucune mention des rôles et responsabilités des gestionnaires et des employés pour la gestion des risques dans leurs activités quotidiennes.

Comme indiqué dans le projet de Cadre intégré de gestion des risques, le Secteur de la politique stratégique et de l’innovation (SPSI) est l’autorité fonctionnelle sur la gestion des risques à RNCan. La Division de la planification stratégique, des risques et des rapports (DPSRR) au sein de la Direction de la planification, de la livraison et des résultats du SPSI est responsable de l’élaboration des documents stratégiques et d’orientation de la gestion des risques de l’ensemble du Ministère, tels que le profil de risque organisationnel et le Cadre de gestion intégrée des risques. Dans le cadre de leur rôle de soutien aux examens fonctionnels des soumissions du Conseil du Trésor et des mémos au Cabinet, la Division des politiques stratégiques, des risques et de la production de rapports collabore également avec les secteurs pour fournir un soutien à l’élaboration des sections sur les risques de ces documents.

De plus, bien que les organes de gouvernance précédemment identifiés jouent un rôle dans la gestion des risques au sein du Ministère, notamment en discutant régulièrement des sujets liés aux risques et en assurant une surveillance en examinant et en approuvant les documents stratégiques et les documents d’orientation en matière de gestion des risques du Ministère, l’équipe d’audit a constaté que les rôles et responsabilités des organes de gouvernance n’étaient pas précisés dans ces documents stratégiques et d’orientation en matière de gestion des risques du Ministère.

L’équipe d’audit a également constaté que les rôles et responsabilités documentés sont axés sur la surveillance et la production de rapports, mais ne soulignent pas l’importance des rôles et responsabilités et de l’appropriation de l’élaboration et de la mise en œuvre des stratégies d’atténuation des risques. Cela est particulièrement important pour les domaines à risque qui nécessitent une approche coordonnée dans l’ensemble du Ministère pour atténuer les risques. Vu la nature décentralisée de la structure organisationnelle du Ministère, il est d’autant plus important que la gestion des risques soit bien coordonnée afin que la DPSRR, les responsables des risques et les experts fonctionnels appropriés des secteurs travaillent ensemble pour adopter une approche globale à l’égard de la gestion des risques. Par exemple, la gestion des risques liés à la cybersécurité nécessite le leadership de la Direction du dirigeant principal de l’information (DDPI) pour l’élaboration des éléments du plan d’action, la coopération du personnel de la technologie de l’information (TI) des secteurs pour la mise en œuvre des éléments du plan d’action de la DDPI, et la coordination de la DPSRR pour surveiller les progrès de la mise en œuvre des éléments du plan d’action par le biais du cycle annuel de PAI.

L’équipe d’audit a constaté que parmi les responsables et les co-responsables des risques, les rôles et les responsabilités n’étaient pas clairement compris, au-delà de la responsabilité avec la DPSRR de la coordination des mises à jour sur les changements aux facteurs de risque et à la mise en œuvre des réponses aux risques. Pour les secteurs qui partagent la responsabilité des risques en tant que co-responsables, l’équipe d’audit a constaté qu’il n’y avait pas de communication et de coordination cohérentes entre ceux-ci.

Le Cadre de gestion des risques ^{Note de bas de page 7} du SCT indique que l’un des principaux rôles des administrateurs généraux est de s’assurer que les principes et les pratiques de gestion du risque sont compris et intégrés aux diverses activités de leur organisation. En outre, les administrateurs généraux sont chargés de surveiller les pratiques de gestion du risque de leur organisation, de prendre en considération les risques associés à leurs principaux partenaires à l’intérieur et à l’extérieur de la fonction publique fédérale. Ils doivent aussi faire en sorte que les questions qui influent sur les démarches de gestion de risques entreprises par l’organisation, qu’il s’agisse de risques relevés lors d’évaluations et d’activités de surveillance interne ou externe, sont examinés et réglés ». L’équipe d’audit a constaté que les rôles et responsabilités du SPSI en tant qu’autorité fonctionnelle du Ministère en matière de gestion des risques ne sont pas clairement définis et compris. D’après les entrevues avec le SPSI et l’examen des documents stratégiques et d’orientation du Ministère en matière de gestion des risques, l’équipe d’audit a constaté que l’accent mis sur les rôles et responsabilités de la DPSRR en matière de gestion des risques est principalement lié au profil de risque organisationnel et à la gestion des risques au niveau ministériel. Il ne comprend pas les détails sur la manière dont la DPSRR soutient le sous-ministre dans l’exercice de ses responsabilités en matière de gestion des risques, telles qu’elles sont décrites dans le cadre du SCT. Vu la position du SPSI en tant qu’évaluateur fonctionnel ayant une optique du risque pour les documents du Cabinet, et le rôle de la DPSRR dans la planification stratégique et la production de rapports, il existe également une possibilité pour le SPSI d’intégrer les connaissances et l’expertise de cette dernière pour éclairer le processus de détermination et d’évaluation des risques pour le PRO.

Figure 1 – Connaissance des rôles et responsabilités en gestion des risques par les employés de RNCan

Bien que le profil de risque organisationnel et la version préliminaire du Cadre de gestion intégrée du risque soient les principaux outils pour documenter et communiquer les rôles et responsabilités des acteurs clés en matière de gestion des risques, l’équipe d’audit a constaté que ces documents n’ont pas été largement diffusés, ce qui entraîne un manque de connaissances et de clarté sur les rôles et responsabilités au Ministère.

Orientation stratégique et directives en matière de gestion des risques

L’équipe d’audit a constaté que le Ministère a établi un profil de risque organisationnel et un cadre de gestion intégrée des risques, car l’orientation ministérielle visait à assurer la surveillance et l’orientation des pratiques de gestion des risques du Ministère. Le but du profil de risque organisationnel est de « fournir une perspective concise, utilisable et à long terme sur les risques stratégiques et opérationnels qui est intégrée dans la pratique de gestion de l’organisation pour éclairer la prise de décision, l’établissement des priorités et l’apprentissage continu ». Toutefois, l’équipe d’audit a constaté que ces documents ne fournissent pas suffisamment de directives aux employés pour appliquer les principes de gestion des risques dans leurs activités quotidiennes.

En 2022, les travaux ont commencé pour l’élaboration du profil de risque organisationnel 2023-2026 avec la discussion des risques lors de la retraite des membres du Comité de la haute direction, au cours de laquelle les risques de l’organisation ont été cernés et discutés. Les résultats de cette discussion ont été utilisés par la DPSRR pour éclairer une analyse environnementale visant à cerner et à affiner les principaux risques auxquels le ministère est confronté. Les commentaires provenant d’autres processus de planification ministérielle, tels que l’exercice de planification intégrée des activités et les consultations avec les secteurs et les comités de gouvernance, ont également permis d’éclairer le processus d’identification des risques. La DPSRR a identifié des responsables et des co-responsables de risque au niveau du secteur, pour qu’ils soient les parties principales et secondaires chargées de la surveillance des facteurs de risque et de la mise en œuvre des réponses aux risques et des plans d’action, ainsi que de la présentation de rapports sur les changements susceptibles d’avoir une incidence sur la détermination, l’évaluation et l’atténuation des risques. Les responsables et les co-responsables des risques ont travaillé avec la DPSRR pour élaborer des énoncés de risque, des facteurs de risque et déterminer des stratégies d’atténuation des risques. Les risques ont été présentés à trois comités du niveau des directeurs généraux (le CPR, le Comité des directeurs généraux des sciences et de la technologie, et le CPDG) pour un exercice de vote et de classement, et pour déterminer les risques clés qui seraient finalisés dans le profil de risque organisationnel. Une décision a été prise de regrouper plusieurs risques opérationnels (par exemple, les RH, la TI, les biens immobiliers, l’approvisionnement, la continuité des activités) en un seul risque de prestation de services ministériels. Le processus a permis de cerner six risques stratégiques et trois risques opérationnels dans le profil de risque organisationnel 2023-2026, qui a été approuvé par le sous-ministre en juin 2023.

Selon le Guide d’élaboration d’un profil de risque organisationnel du Conseil du Trésor, ^{Note de bas de page 8} « pour préparer le profil de risque organisationnel, il est important d’établir une méthodologie uniforme clarifiant la manière dont les risques des secteurs de programmes sont regroupés au niveau organisationnel ». L’équipe d’audit a constaté qu’il n’est pas clair comment les risques au niveau du programme sont pris en compte et agrégés lors de l’élaboration du profil de risque organisationnel. Selon les modèles fournis aux secteurs pour évaluer les niveaux des risques stratégiques et opérationnels cernés, les secteurs doivent fournir des évaluations de risque et des mesures d’atténuation pour ces risques tels qu’ils s’appliquent au secteur. Ce processus a sollicité et recueilli les perspectives des secteurs sur la probabilité et l’impact des risques cernés, ainsi que leurs stratégies d’atténuation pour les risques tels qu’ils s’appliquaient à eux. L’équipe d’audit a constaté qu’il y avait un manque de clarté quant à la façon dont les représentants du secteur doivent évaluer et classer les risques de manière à ce que les évaluations des risques tiennent compte de la perspective de l’ensemble du secteur.

L’équipe d’audit a également constaté que la sollicitation et la collecte de stratégies d’atténuation des risques du point de vue du secteur ne permettent pas non plus une approche coordonnée pour l’atténuation des risques. Par exemple, malgré le fait que la cybersécurité ait été considérée comme un risque majeur se trouvant dans la catégorie « élevé », le responsable des risques en matière de cybersécurité a noté que le Ministère n’a actuellement aucun mécanisme de gouvernance établi ni de processus pour évaluer de manière exhaustive les risques en matière de cybersécurité (secteur par secteur) et pour agréger les résultats au niveau ministériel. L’équipe d’audit a noté que sans cette vue d’ensemble complète des risques liés à la cybersécurité, le responsable des risques ne serait pas en mesure d’évaluer et de valider avec précision les risques liés à la cybersécurité du Ministère. Le processus de vote et de classement utilisé pour évaluer les risques stratégiques et opérationnels consistait à avoir les membres du comité de gouvernance présents lors des réunions du CPPR, du CDGST et CPDG voter sur chacun des risques présentés, y compris la cybersécurité, mais il n’est pas clair si les séances de vote étaient précédées d’évaluations des risques liés à la cybersécurité au niveau des directions, qui seraient ensuite agrégées au niveau du secteur pour éclairer les votes des membres du comité. Il n’est pas clair non plus si les votes avaient le même poids pour tous les représentants du secteur ou si les secteurs plus importants qui avaient plus de représentants dans les comités (par exemple, plus d’un représentant régional ou de direction) avaient plus de voix. L’équipe d’audit a noté que la DDPI travaille à mettre en œuvre les recommandations de l’audit récent sur la cybersécurité afin de remédier aux points à améliorer concernant la gouvernance de la cybersécurité au Ministère.

Le Guide d’élaboration d’un profil de risque organisationnel du Conseil du Trésor identifie également les sections essentielles qui « sont considérées comme des éléments indispensables d’un profil de risque de qualité puisqu’elles fournissent clarté et contexte ». Un tel élément essentiel correspond à un résumé de la méthodologie, qui décrit « la méthode de gestion du risque employée pour produire le profil de risque de l’organisation ». Cette section devrait expliquer clairement au lecteur comment les risques ont été évalués et pourquoi l’approche est adaptée et pertinente » L’équipe d’audit a constaté qu’il n’y a aucune description claire ou explication de la méthodologie utilisée pour l’élaboration du profil de risque organisationnel. De plus, aucun des outils principaux de gestion des risques du ministère (PRO, projet de Cadre de gestion intégrée du risque, projet de Stratégie ministérielle de gestion des risques) n’explique le processus d’évaluation et de priorisation des risques. Sans avoir une méthodologie clairement définie pour identifier et évaluer les risques (y compris la manière dont ils sont classés et évalués) et communiquer la méthodologie à tout le ministère, l’équipe d’audit ne peut pas évaluer dans quelle mesure une approche cohérente et standard a été appliquée pour chacun des risques dans le PRO, et si l’exercice de vote et de classement mentionné précédemment dans le rapport est une approche appropriée et pertinente pour le ministère. Les résultats du sondage indiquent que la plupart des répondants (59 %) ne sont pas conscients des niveaux de tolérance au risque de leur secteur et que 21 % des répondants n’ont pas entendu parler du concept de tolérance au risque.

Figure 2 – Compréhension des niveaux de tolérance au sein des secteurs

Le Guide de gestion intégrée du risque du Conseil du Trésor indique que « [p]ar leur leadership, ils favorisent l’instauration d’une culture organisationnelle qui soutient une prise de décisions éclairée par l’analyse des risques, facilite le dialogue sur la tolérance au risque, met l’accent sur les résultats, permet de tenir compte des possibilités et favorise l’innovation », et qu’« [i]l faut que la tolérance au risque soit claire à tous les niveaux de l’organisation afin de favoriser une prise de décisions éclairée par l’analyse des risques et le recours à des approches tenant compte du risque ».^{Note de bas de page 9}

L’équipe d’audit a constaté que la tolérance au risque fait l’objet de discussions lors de diverses réunions des comités de gouvernance. Cependant, l’appétit pour le risque et la tolérance au risque du ministère ne sont pas spécifiquement définis ni communiqués de manière générale, selon un examen des informations disponibles sur l’intranet et des documents stratégiques et directifs du ministère en matière de gestion des risques. De plus, déterminer et communiquer l’appétit pour le risque et la tolérance au risque ne font pas partie des rôles et responsabilités énoncés dans ces trois documents, sauf pour les secteurs (en tant que non-responsables des risques) qui doivent communiquer des informations sur les risques, leur approche et leur tolérance au risque au sein du secteur. Sans un appétit pour le risque et une tolérance au risque clairement définie et communiquée, il peut être difficile pour le ministère de s’assurer que les réponses aux risques identifiés et les stratégies d’atténuation abordent adéquatement les risques dans le PRO, et que les activités de gestion des risques des secteurs sont alignées sur l’appétence et la tolérance au risque du ministère.

Surveillance des risques

Selon le projet de Cadre de gestion intégrée du risque, le profil de risque organisationnel doit être établi et géré sur un cycle de trois ans, avec un suivi et un rapport régulier pour recueillir les mises à jour et les informations nécessaires à l’élaboration d’un tableau de bord des risques organisationnels. Cela implique que la DPSRR collabore avec les responsables des risques pour recueillir des données sur les risques afin de mettre à jour les risques deux fois par année, et d’utiliser les informations sur les risques recueillies lors du processus annuel de planification intégrée des activités commerciales. L’équipe d’audit a observé qu’après le premier cycle et le développement du tableau de bord des risques organisationnels, le ministère est passé à l’élaboration et à l’utilisation d’un aperçu des risques organisationnels pour rendre compte de l’avancement de la mise en œuvre des stratégies d’atténuation des risques.

Le tableau de bord des risques organisationnels a noté qu’une moyenne des notes au sein du PRO a été faite avec les contributions des secteurs et qu’il ne présentait pas les notes typiques calculées selon la formule de la matrice des risques. Par conséquent, grâce à la surveillance, les évaluations des risques ont été ajustées afin de correspondre au mieux au calcul approprié de l’impact et de la probabilité – ce qui a entraîné une variation des évaluations. Les évaluations des risques au sein du PRO (moyenne) ont présenté des niveaux similaires pour les 9 risques; maintenant, avec la surveillance, une nouvelle perspective sur les niveaux de risque des responsables des risques peut s’éloigner du calcul des évaluations moyennes pour affiner les niveaux de risque inhérents et résiduels. L’équipe d’audit a observé que grâce au projet pilote de surveillance des risques, le processus d’évaluation et de notation des risques du PRO a évolué. Le tableau de bord et par la suite l’aperçu ont été partagés lors de diverses réunions des comités de gouvernance. Cependant, l’équipe d’audit a constaté que le profil de risque organisationnel (versions antérieures et version approuvée existante), ainsi que ses mises à jour après divers exercices de surveillance et de validation, n’était pas largement partagé au sein du ministère. Il n’est pas largement disponible sur l’intranet ministériel (La Source), ni facilement accessible dans le système de gestion électronique des documents et des dossiers du ministère (GCDOCS).

De plus, l’équipe d’audit a constaté que le ministère ne dispose pas d’une méthodologie standard pour identifier et évaluer les risques, ce qui rend difficile de déterminer si le processus de validation et de mise à jour des risques pendant le processus de suivi est aussi rigoureux que le processus initial d’identification et d’évaluation des risques. Il est également difficile de déterminer si une approche cohérente et standard a été appliquée pour chacun des risques dans le PRO, et pour les secteurs individuels dans leur application des principes de gestion des risques à leurs propres activités de gestion des risques. Par exemple, le responsable de la gestion des risques en cybersécurité a noté que sa participation au projet pilote de surveillance des risques a commencé par une mission visant à examiner et valider l’évaluation des risques en cybersécurité. Cependant, il y avait peu d’explication ou d’instruction sur l’impact de l’exercice de surveillance. Par exemple, il n’y avait pas d’échelle significative pour aligner la cote par rapport aux autres risques du PRM, ni de méthodologie standard pour décrire la méthode d’évaluation des risques de cybersécurité à l’élaboration du profil de risque organisationnel afin de garantir une cohérence et une compréhension communes de l’origine et de la signification de la cote. L’équipe d’audit a également constaté que le niveau de risque a considérablement augmenté pendant la phase pilote de surveillance des risques, passant d’une cote de 7 dans le profil de risque organisationnel approuvé en juin 2023, à une cote de 16 dans l’aperçu des risques organisationnels présenté au Comité des sous-ministres adjoints (SMA) chargés des opérations en mai 2024. Il n’est pas clair si cette augmentation est due à une modification de la gravité de l’impact et de la probabilité des événements liés aux risques de cybersécurité, ou à un changement dans le processus et la rigueur avec lesquels les risques de cybersécurité ont été évalués.

Le Guide de gestion intégrée du risque du Conseil du Trésor indique que « le profil organisationnel des risques doit être révisé et mis à jour régulièrement (possiblement au rythme du contexte opérationnel de l’organisation comme la planification annuelle des activités et le rapport semestriel sur le rendement) afin qu’elle dispose d’une connaissance claire et à jour de ses grands risques et de leur état et d’ainsi éclairer ses décisions. Pour le cas où des risques exigeant une attention surviennent entre les cycles prévus, l’organisation pourra envisager de mettre en place un mécanisme de recours hiérarchique. » L’équipe d’audit a constaté que le processus actuel du ministère, y compris le cycle de trois ans pour la gestion des risques organisationnels, ne tient pas suffisamment compte de l’identification, de l’évaluation et de l’atténuation des nouveaux risques. L’équipe d’audit a été informée que tout nouveau risque au niveau ministériel serait saisi par le processus de surveillance du PRO, et s’inscrirait très probablement dans une catégorie de risque déjà identifiée. Cela met la responsabilité sur le processus initial d’identification des risques pour définir un ensemble de catégories de risques qui engloberaient tous les risques auxquels le ministère pourrait faire face au cours d’un cycle de trois ans du PRO. L’équipe d’audit a constaté qu’en dehors de cette approche de catégorisation, il n’existe aucun autre mécanisme établi pour identifier et évaluer les nouveaux risques, ce qui peut entraîner une mauvaise gestion des nouveaux risques qui ne correspondent pas à une catégorie de risque précédemment identifiée. Les stratégies d’atténuation des risques existants pourraient ne pas convenir pour faire face aux nouveaux risques.

L’équipe d’audit a noté que depuis le dernier audit du Cadre de gestion intégrée du risque en 2014, l’approche du ministère en matière de gestion des risques est devenue moins fréquente, passant d’un cycle annuel de gestion des risques à un cycle de trois ans, ce qui pourrait réduire la pertinence et l’efficacité du profil de risque organisationnel en tant qu’outil d’aide à la prise de décision. L’équipe d’audit a également noté qu’aucune version antérieure du profil de risque organisationnel n’est facilement accessible au ministère. Bien que cela ne relève pas du champ d’application de cet audit de déterminer la raison de la décision de modifier la durée du cycle de gestion des risques depuis l’audit de 2014, l’équipe d’audit a noté qu’en combinaison avec l’absence d’un mécanisme solide pour gérer les nouveaux risques, le processus existant pourrait avoir une incidence sur la capacité ministérielle à faire face de manière proactive aux risques dans un environnement en évolution rapide au cours du cycle de trois ans.

L’équipe d’audit a noté qu’à la fin de la période de portée de l’audit (mai 2024), la DPSRR avait commencé l’élaboration d’une stratégie de gestion des risques organisationnels. Ce plan stratégique établit un calendrier de mise à jour des risques qui comprend des exercices trimestriels de mise à jour des risques afin de recenser les nouveaux risques et d’anticiper leur impact sur les risques établis. Il a également été noté que l’aperçu des risques organisationnels présenté au Comité des opérations des sous-ministres adjoints en mai 2024 comprenait une discussion sur les mesures que le ministère devrait prendre pour atténuer les risques existants et nouveaux. Ceci est une bonne pratique et pourrait être envisagé pour être introduit en tant que partie régulière de l’approche de gestion des risques du ministère.

Risques et incidences

Sans un processus pour déterminer et communiquer l’appétit pour le risque et la tolérance au risque du ministère, il peut être difficile d’établir des stratégies d’atténuation appropriées qui aborderaient les risques stratégiques et opérationnels évalués. Les stratégies d’atténuation des risques devraient être basées sur la volonté et l’appétit du ministère à tolérer les impacts des événements risqués qui surviennent alors que le ministère travaille à atteindre ses objectifs stratégiques.

Sans une méthodologie robuste et uniforme pour l’identification et l’évaluation des risques dans l’ensemble du ministère qui regroupe et intègre les risques à tous les niveaux, y compris les risques nouveaux, il y a un risque que le profil de risque organisationnel ne saisisse pas et ne reflète pas avec exactitude tous les principaux secteurs de risque et leurs cotes respectives, ce qui rend le ministère vulnérable aux secteurs de risque qui n’ont pas été examinés auparavant et sans mesures appropriées pour traiter les risques découlant de l’évolution de façon proactive et opportune. Une approche incohérente de la mesure et du suivi des limites de risque limite l’efficacité du profil de risque organisationnel en tant qu’outil de prise de décision et nuit au ministère dans son établissement de stratégies d’atténuation des risques conformes à sa tolérance au risque et son l’appétit pour le risque.

Sans communication formelle et générale des rôles et des responsabilités de la gestion des risques au sein du ministère, il existe un risque que les employés cloisonnent la gestion des risques à certains groupes ou fonctions, et qu’ils ne soient pas conscients de leurs responsabilités en matière d’application des principes de gestion des risques dans leurs activités quotidiennes. Sans rôles et responsabilités clairs, il y a un risque de lacunes dans l’identification et l’évaluation des risques au sein du ministère, ainsi que des occasions manquées pour les employés de rechercher et d’obtenir le soutien et les conseils dont ils ont besoin pour appliquer les principes de gestion des risques dans leurs activités quotidiennes. Puisque les employés à tous les échelons du ministère ont un rôle à jouer dans la gestion des risques, il est nécessaire d’avoir une meilleure clarté et des rôles et des responsabilités définis pour déterminer la manière de gérer la responsabilité partagée de la gestion des risques au sein du ministère.

Recommandations

Recommandation 1 : On recommande que le sous-ministre adjoint du Secteur de la politique stratégique et innovation renforce la gestion intégrée des risques en :

1. révisant des processus et une documentation de la méthodologie pour l’élaboration et la mise à jour du profil de risque organisationnel. Le processus devrait clarifier la détermination des risques et de leurs évaluations dans le ministère, et la méthode de détermination, d’évaluation et d’atténuation des nouveaux risques;
2. mettant au point et en œuvre des documents stratégiques et directifs du ministère en matière de gestion des risques organisationnels;
3. soutenant le ministère dans l’établissement de niveaux de tolérance au risque clairs, qui sont informés par l’appétit global du ministère pour le risque, en collaboration avec tous les SMA;
4. Définir clairement les rôles et responsabilités des acteurs clés de la gestion des risques, y compris l’autorité fonctionnelle en matière de gestion des risques, les sous-ministres adjoints (SMA), les directeurs généraux (DG), les directeurs, les gestionnaires de programme, les responsables des risques, les co-responsables et les comités de gouvernance.

Réponse de la direction et plan d’action

La direction est d’accord.

En réponse à la recommandation 1a :

Le PSI-PLR doit finaliser la Stratégie de risque organisationnel qui comprend le processus et la méthodologie pour élaborer, mettre à jour et communiquer le profil de risque organisationnel (PRO). Il comprend une méthodologie pour identifier les risques et leurs évaluations, et décrit le processus de collecte des nouveaux risques émergents. De plus, des détails supplémentaires sur la méthodologie seront élaborés lorsque le processus du PRO 2027-2030 sera établi.

Calendrier : T4 de 2025-2026

En réponse à la recommandation 1b :

Le PSI-PLR dirigera les travaux visant à mettre à jour les documents d’orientation pour soutenir la gestion des risques de l’entreprise. Cela comprend :

1. Documents d’orientation pour les responsables des risques et les responsables non liés aux risques afin de soutenir le processus de surveillance des risques de l’entreprise, qui a lieu deux fois par an. (Terminé et sera actualisé annuellement)
2. Stratégie de gestion des risques organisationnels – en cours d’élaboration
3. Lien vers le guide du SCT sur la gestion des risques (actuellement sous forme d’ébauche sur le site SharePoint de gestion des risques organisationnels [SharePoint des risques])

Les documents ci-dessus seront affichés sur le site SharePoint des risques organisationnels.

Le SGSI-DPO dirigera l’établissement de lignes directrices pour la gestion des risques opérationnels dans le cadre du processus global de gestion des risques intégrée en cours d’élaboration dans la stratégie de risque provisoire. Le SGSI-DPO gère le Processus de gestion des risques et de conformité (PGRC) dirigé par le SCT pour RNCan, qui peut être utilisé pour fournir des conseils sur les risques opérationnels (à confirmer).

À noter que bien que le PSI assure la direction fonctionnelle des risques organisationnels, les secteurs sont responsables de l’orientation et de l’application des approches de gestion des risques internes au niveau sectoriel.

Calendrier : Approche progressive

• T4 de 2024-2025 – Modèles de risques d’entreprise et documents d’orientation partagés avec les représentants de liaison sectorielle et les responsables et non-responsables des risques par l’intermédiaire du processus de planification intégrée des activités.
• T3 de 2025-2026 – Lancement du SharePoint de gestion des risques organisationnels
• T4 de 2025-2026 – Publication de la Stratégie de gestion des risques organisationnels

En réponse à la recommandation 1c :

Le PSI-PLR travaillera avec les responsables des risques pour élaborer des lignes directrices et une approche structurée pour le service afin d’établir l’appétit au risque et les niveaux de tolérance pour le profil de risque organisationnel, dans le cadre du prochain processus de renouvellement du PRO. Cela sera présenté aux comités de gouvernance (par exemple, le Comité de la haute direction) pour une décision de la haute direction et une approbation du SM. L’appétit et la tolérance au risque ministériels seront approuvés par le sous-ministre de RNCan chaque année.

Calendrier : T2 de 2026-2027.

En réponse à la recommandation 1d :

Le PSI-PLR finalisera la Stratégie de gestion des risques organisationnels qui comprend des renseignements sur les rôles et responsabilités des acteurs clés (par exemple, PSI, responsables des risques, responsables non liés aux risques, SMA responsables des risques, SM, comités de gouvernance) pour la gestion des risques organisationnels.

Le PSI-PLR, en collaboration avec le SGSI-DPO, préparera un document de haut niveau décrivant les rôles et responsabilités des acteurs clés spécifiques au sein du ministère en tant qu’orientation sur la gestion des risques en général (par exemple, les SMA des secteurs, les directeurs, les gestionnaires de programmes), mais ne sera pas responsable de garantir la conformité ou de collecter des données sur les résultats. Ce document sera mis à la disposition de tout le personnel sur le site SharePoint des risques.

Remarque : Les SMA du secteur sont responsables de veiller à la conformité, de surveiller les résultats et de clarifier les rôles sectoriels en matière de gestion quotidienne des risques, et seront en mesure d’adapter ce document de haut niveau aux besoins de leur secteur.

Calendrier : T4 de 2025-2026

Communication et coordination

Constatation générale

Dans l’ensemble, le ministère a mis en place des processus et utilise les mécanismes de gouvernance existants pour collaborer et coordonner l’élaboration d’outils de gestion des risques organisationnels. Il y a des possibilités de mieux communiquer les informations sur les risques du ministère, y compris les risques corporatifs identifiés, leurs niveaux de tolérance aux risques associés et les stratégies d’atténuation des risques. Il existe également des possibilités d’utiliser les ressources existantes du Conseil du Trésor et la formation de l’École de la fonction publique du Canada pour sensibiliser, renforcer les capacités et mieux outiller les employés dans l’application des principes de gestion des risques dans leurs activités quotidiennes, au-delà de l’exercice du PRO. Enfin, il existe des possibilités de développer des exigences de formation pour les personnes exerçant des responsabilités clés en matière de gestion des risques.

Observations pertinentes

Des processus adéquats et efficaces permettent la communication et la coordination des principes et des activités de gestion des risques au sein du ministère. L’audit a évalué si des mécanismes de coordination efficaces sont en place entre le SPSI et tous les secteurs pour permettre la collaboration entre les propriétaires de risques et l’intégration adéquate des considérations relatives aux risques dans la mise en œuvre des pratiques de gestion des risques organisationnels de manière continue. L’audit a également évalué si le ministère a mis en place des activités de formation adéquates pour soutenir les employés dans le renforcement de leurs capacités à comprendre, mettre en œuvre et intégrer les principes de gestion des risques dans leurs rôles respectifs. De plus, l’audit a évalué si des mécanismes de communication efficaces existent et sont utilisés pour permettre le partage efficace des informations de gestion des risques au sein de l’organisation afin de soutenir la prise de décision opportune et éclairée.

Coordination, collaboration et communication

L’équipe d’audit a constaté que la structure de gouvernance actuelle permet la facilitation des discussions sur les risques au niveau de la direction et de l’exécutif dans le ministère. Les comités de gouvernance mentionnés dans la section précédente sont impliqués par le biais de la présentation de rapports ministériels et de plans d’action, où les cadres discutent et fournissent des commentaires et des recommandations. Il y a également une collaboration et une coordination entre la DPSRR et les responsables des risques, ainsi qu’entre la Division et les secteurs, à des fins de planification et de rapport à l’échelle ministérielle. Dans le cadre du projet pilote de surveillance des risques, la DPSRR a rencontré les responsables des risques identifiés pour discuter de l’état de l’atténuation des risques et de la mise en œuvre des plans d’action sectoriels en matière de risques. Grâce à l’exercice annuel de PAI, la DSPRR implique également des secteurs qui ne sont pas des chefs de file en matière de risques pour obtenir leurs perspectives et mises à jour sur les évaluations des risques identifiés dans le PRO.

L’équipe d’audit a constaté qu’un effort avait été déployé pour la coordination et la collaboration au sein du ministère en ce qui concerne l’élaboration, le suivi et la validation du PRO. Cependant, les résultats de ces activités ne sont pas largement communiqués dans l’ensemble du ministère, ce qui limite davantage l’efficacité du profil de risque organisationnel en tant qu’outil de référence pour les pratiques de gestion des risques.

L’équipe d’audit a également constaté qu’il existe un manque de mécanismes de communication efficaces pour partager les informations sur la gestion des risques au sein du ministère. Alors que l’exercice du PRO et le pilote de surveillance subséquent ont été efficaces pour générer des discussions continues sur les risques au niveau des comités de gouvernance de la direction et de la haute direction, l’équipe d’audit a constaté qu’il n’existe pas de mécanisme de communication établi pour partager les renseignements sur la gestion des risques dans toute l’organisation afin de soutenir la prise de décision opportune et éclairée.

Figure 3 – Connaissance du profil de risque organisationnel (PRO) de RNCan

Figure 4 – Familiarité avec les principes de gestion des risques

Formation et sensibilisation

Comme indiqué dans le projet de Cadre de gestion intégrée du risque, l’un des rôles et responsabilités de la DSPRR est de soutenir l’amélioration de la culture, de la capacité et de la capacité de gestion des risques au sein de l’organisation en fournissant des orientations et des ressources sur les risques. La DPSRR a développé un cours intensif sur les risques 101, qui a été offert en interne aux employés du SPSI. L’équipe d’audit a constaté que les documents de cours fournissent des directives de haut niveau sur les principes de gestion des risques et les définitions pertinentes pour l’exercice du PRO, ce qui peut servir de base pour les personnes impliquées dans l’élaboration du profil de risque organisationnel et des activités connexes. Bien que la formation puisse avoir été bénéfique pour les employés du SPSI, l’audit a noté que les exemples utilisés dans la formation n’étaient pas adaptés à un environnement de travail gouvernemental, ni spécifiques à un environnement de travail scientifique.

De plus, l’équipe d’audit a constaté qu’il y a un manque d’information et de directives pour l’application des principes de gestion des risques au-delà de l’exercice de PRO. Le PRO et les outils ne contiennent pas d’informations et de conseils aux secteurs sur la manière dont ils pourraient appliquer les principes de gestion des risques à leur travail à tous les niveaux du ministère. De plus, il existe peu de directives et d’informations sur la gestion des risques disponibles pour les responsables non responsables des risques, les secteurs, les branches ou les individus afin de les intégrer facilement dans leurs activités quotidiennes. Selon la DSPRR, ils sont le centre d’expertise en matière de gestion des risques d’entreprise. Cependant, il y a un manque de clarté sur qui serait responsable de l’élaboration d’une orientation interne pour la gestion des risques non liés au PRO.

Figure 5 – Formation en gestion des risques suivie par les employés de RNCan

L’équipe d’audit a constaté que le Secrétariat du Conseil du Trésor du Canada et l’École de la fonction publique du Canada (EFPC) disposent de directives et de formations à l’intention des fonctionnaires afin de mieux comprendre les principes, les concepts, les approches et les processus liés à la gestion des risques. L’instrument principal de politique élaboré par le CT est le Cadre de gestion des risques, qui est soutenu par le Guide de gestion intégrée du risque, le Guide d’élaboration d’un profil de risque organisationnel, le Guide sur les énoncés de risque, le Guide sur les taxonomies des risques et le Modèle de la capacité en matière de gestion des risques. L’École de la fonction publique du Canada offre de nombreux cours, tels que la planification de la gestion des risques, l’analyse des risques et la réponse aux risques. Ensemble, ces deux sources d’orientation et le matériel de formation pourraient être utilisées pour soutenir le ministère dans le renforcement de sa capacité à comprendre, mettre en œuvre et intégrer les principes généraux de gestion des risques dans toute l’organisation.

L’équipe d’audit a constaté que les représentants du secteur interrogés (une sélection de ceux qui étaient responsables de la gestion des risques au sein de leur secteur, et une sélection de ceux qui étaient responsables des programmes au sein de leur secteur) connaissaient les outils de gestion des risques du ministère et en tiraient parti, comme le Cadre de gestion intégrée du risque de 2015 et les directives partagées lors de l’élaboration du profil de risque organisationnel. Parmi les formations externes offertes par l’EFPC, les représentants du secteur ont mentionné des cours spécifiques, tels que l’Introduction à la gestion du risque et les Principes fondamentaux de la gestion des risques. Certains secteurs ont identifié des exigences au sein de leurs propres équipes et ont encouragé leur personnel à suivre ces cours si nécessaire.

Cependant, l’équipe d’audit a également noté que de nombreux secteurs estiment que les informations et les directives sur les risques disponibles ne s’appliquent pas à leur travail spécifique. En conséquence, de nombreux secteurs dépendent fortement des politiques et des centres d’expertise directement liés à leur programme ou à leur travail (par exemple, le Centre d’expertise ministériel de subventions et contributions, le Guide de RNCan sur les paiements de transfert, etc.), plutôt que de risquer de se former grâce aux moyens internes ou externes disponibles. Il y a une occasion pour la DSPRR de collaborer avec les secteurs afin de compléter les directives et les formations externes existantes ou d’en tirer parti en fournissant du matériel plus pertinent et applicable aux employés du secteur.

Risques et incidences :

Sans mécanismes de communication efficaces pour partager les informations de gestion des risques dans toute l’organisation, il existe un risque que les décisions stratégiques et opérationnelles au sein du ministère ne soient pas éclairées par des informations sur les risques opportunes et pertinentes.

Sans une sensibilisation et une compréhension généralisées des principes de gestion des risques, il existe un risque que le ministère ne soit pas pleinement outillé pour identifier et atténuer les risques qui existent à tous les échelons, y compris comment et où signaler les nouveaux risques émergents aux acteurs clés appropriés.

Sans des activités de formation adéquates et des informations d’orientation sur les principes de gestion des risques, il existe un risque que les employés n’aient pas les connaissances, la compréhension et la capacité d’intégrer les principes et les pratiques de gestion des risques dans leur travail.

Recommandations

Recommandation 2 : Il est recommandé que le sous-ministre adjoint du secteur de la politique stratégique et de l’innovation accroisse la sensibilisation et la mise en œuvre des principes de gestion des risques en élaborant des lignes directrices, des outils et des possibilités de formation pour soutenir une culture solide de gestion des risques, par ces moyens :

1. Communication des risques organisationnels du ministère, des tolérances aux risques associées et des stratégies d’atténuation des risques à tous les employés.
2. Développement d’une orientation pour l’application plus large des principes de gestion des risques (c’est-à-dire une méthodologie standard pour identifier, évaluer, traiter et surveiller les risques actuels, nouveaux et émergents).
3. Identification des besoins de formation pour les personnes exerçant des responsabilités clés de gestion des risques.

Réponse de la direction et plan d’action

La direction est d’accord.

En réponse à la recommandation 2a :

Le PSI-PLR finalisera le site SharePoint sur les risques, qui sera la principale plateforme de communication pour les renseignements sur les risques organisationnels du ministère au RNCan. Les renseignements contenus sur ce site comprendront des éléments tels que le profil de risque organisationnel (y compris les mises à jour du PRO), du matériel d’orientation pour soutenir le processus de surveillance des risques organisationnels, des orientations générales de haut niveau pour la gestion des risques en général, et des liens vers des ressources de risques suggérées (par exemple, des cours de l’EFPC, des orientations du SCT). Il comprendra également des renseignements sur l’appétit et la tolérance au risque du ministère une fois établis et approuvés par le SM. De plus, des comités de gouvernance seront utilisés pour diffuser des renseignements sur les risques organisationnels afin d’améliorer la culture au sein du ministère.

Calendrier : T3 2025-2026 – Publication du SharePoint des risques organisationnels, avec des renseignements supplémentaires ajoutés de manière continue (par exemple, les appétits et tolérances aux risques une fois approuvés par le SM).

En réponse à la recommandation 2b :

Le PSI-PLR finalisera la Stratégie de gestion des risques organisationnels qui fournit des orientations pour l’application des principes de gestion des risques (par exemple, l’identification, l’évaluation, la prise en charge et la surveillance des risques). Cela sera partagé sur le site SharePoint des risques. Les secteurs sont encouragés à utiliser les documents d’orientation pour développer des pratiques de gestion des risques adaptées au secteur en dehors du PRO, et pour maintenir tout plan de réponse aux risques établi comme condition de leurs autorisations politiques et/ou de financement. Les secteurs seront responsables de surveiller la conformité et de mettre en œuvre au sein de leurs organisations respectives.

Le SGSI-DPO dirigera le processus d’élaboration des lignes directrices pour la gestion quotidienne des risques opérationnels intégrés dans les lignes directrices générales qui seront fournies sur le site SharePoint des risques, en tenant compte de toutes les nouvelles exigences en matière de risques créées par le lancement du processus de gestion des risques et de conformité.

Calendrier : T3 2025-2026 – Publication du SharePoint des risques organisationnels. T4 de 2025-2026 – Publication de la Stratégie de gestion des risques organisationnels

En réponse à la recommandation 2c :

Le PSI-PLR identifiera les liens vers les cours de l’École de la fonction publique du Canada (EFPC) et les documents d’orientation du SCT sur les risques et partagera ces renseignements. Les secteurs seront responsables de s’assurer que le personnel a suivi les cours pertinents pour soutenir leur rôle en gestion des risques.

Remarque : Le PSI-PLR offre une formation aux responsables des risques et aux non-responsables en soutien à la gestion des risques organisationnels.

Le SGSI-DPO établira des directives pour la gestion des risques opérationnels.

Calendrier : T3 de 2025-2026 – Les exigences en matière de formation doivent être révisées chaque année pour déterminer si des mises à jour sont nécessaires

Gestion des risques au sein des secteurs

Constatation générale

Dans l’ensemble, l’équipe d’audit a constaté que les principes de gestion des risques sont appliqués au sein des secteurs. Les secteurs varient en termes de niveau de cohérence et de maturité dans la façon dont les principes de gestion des risques sont opérationnalisés dans leurs activités quotidiennes. En l’absence de directives et d’outils ministériels pour la gestion des risques au-delà de l’exercice du profil de risque organisationnel, certains secteurs et certaines directions ont développé leurs propres outils et ont utilisé les directives propres à la fonction disponibles pour évaluer les risques, comme les ressources pour les programmes de paiement de transfert.

Il existe des preuves limitées d’exercices d’évaluation des risques cohérents et documentés au-delà de ceux nécessaires pour satisfaire aux exigences de présentation au Conseil du Trésor, et des preuves limitées d’activités de gestion des risques formalisées et continues visant à identifier, évaluer, surveiller et traiter les risques existants et nouveaux. Il y a des possibilités d’examiner et de considérer la réintroduction d’une exigence de profils de risque sectoriels.

Observations pertinentes

Des principes de gestion des risques solides, lorsqu’ils sont appliqués au sein des secteurs, garantissent que le ministère adopte une approche intégrée et holistique pour éliminer les risques. L’audit a évalué si des outils et des directives efficaces sont disponibles et utilisés par les secteurs pour faciliter l’identification, l’évaluation, la gestion et la surveillance des risques dans leurs différentes opérations. L’audit a évalué si des évaluations exhaustives des risques sont effectuées lors des étapes de planification des nouveaux programmes afin de cerner et d’évaluer les principaux domaines de risque menaçant la réalisation réussie de leurs objectifs, si des mesures ont été établies par les programmes dans le but de répondre aux risques cernés et si elles sont correctement exécutées. De plus, l’audit a évalué si des processus de surveillance des risques du programme ont été établis pour réévaluer les risques cernés et l’adéquation des stratégies existantes d’atténuation des risques et prendre en compte de nouveaux risques.

Tirer parti des directives et des outils accessibles

Comme indiqué dans les sections précédentes, il existe peu de directives et d’outils de gestion des risques accessibles aux employés, en dehors de l’exercice de PRO. Les employés du secteur directement impliqués dans la planification et la communication sont conscients des directives ministérielles sur le PRO et les activités connexes de planification et de communication. Ils sont activement impliqués dans la coordination de la contribution de leur secteur à ces exercices. Certains employés du programme sont au courant de la version précédente (2015) du Cadre de gestion intégrée du risque et s’y réfèrent pour obtenir des conseils en matière de gestion des risques. Les programmes échantillonnés avaient une exigence de réalisation d’une évaluation initiale des risques au début du programme dans le cadre du processus de présentation au Conseil du Trésor. L’équipe d’audit a noté que les employés du programme utilisent les informations et les ressources disponibles spécifiques à ces types de programmes, par l’intermédiaire du Centre d’expertise de subventions et contributions du ministère, y compris les modèles d’évaluation des risques. Les secteurs utilisent également les directives disponibles du ministère sur les évaluations des risques pour le processus de présentation au Conseil du Trésor.

Dans les secteurs consultés, l’équipe d’audit a constaté qu’il n’existe pas d’outils et de directives spécifiques développés par les secteurs pour orienter la gestion des risques. Au cours de la portée de l’audit de 2014 du Cadre de gestion intégrée du risque, les secteurs ont élaboré des profils de risques sectoriels dans le cadre du processus de planification intégrée des activités organisationnelles. L’équipe d’audit a constaté que cela n’est plus fait au niveau du secteur. L’équipe d’audit a également noté que l’Office de l’efficacité énergétique (OEE) du secteur de l’efficacité énergétique et de la technologie de l’énergie a élaboré un profil de risque de la direction, guidé par le Cadre de gestion des risques du SCT et les normes internationales de gestion des risques (ISO 31000). Il décrit les principaux risques stratégiques auxquels fait face la Direction, les contrôles existants en place, les facteurs de risque, le glossaire des définitions et les liens avec les produits de planification au niveau de la direction et du secteur. Ceci est considéré comme une pratique exemplaire, et le SEETE et d’autres secteurs peuvent envisager d’adopter cette pratique au niveau du secteur en l’absence de directives et d’outils ministériels disponibles.

Pratiques de gestion des risques

L’équipe d’audit a constaté que, dans les secteurs échantillonnés, il y a une plus grande visibilité et une meilleure gouvernance des risques sectoriels là où des organismes de gouvernance ont été mis en place pour discuter des risques précis, comme les comités sectoriels de la gestion de l’information et des technologies, les comités sectoriels des ressources humaines et les comités sectoriels des sciences et des technologies. Il y a un flux d’information des comités de surveillance ministériels vers les comités sectoriels (deux des trois secteurs échantillonnés ont établi une gouvernance propre au secteur pour ces domaines ou sujets à risque). Lorsqu’il n’y a pas d’organisme de gouvernance dans le secteur concerné, la circulation de l’information n’est pas claire et dépend largement du représentant du secteur pour rapporter les informations au secteur. En raison de la complexité de la structure d’organisation et de gouvernance du secteur, un secteur rencontre des difficultés à avoir une visibilité sur la gestion des risques du secteur. Les deux autres secteurs se sont organisés de manière à pratiquer une gestion intégrée des risques en tirant parti des comités de gouvernance à l’échelle sectorielle. Les secteurs ont également signalé le manque de clarté et d’orientation quant à la manière dont les profils de risque sectoriels devraient être élaborés et intégrés au profil de risque organisationnel.

Lorsqu’il s’agit des pratiques de gestion des risques au sein des secteurs, l’équipe d’audit a constaté que les trois programmes échantillonnés ont effectué des évaluations des risques lors de leurs phases de planification, dans le cadre du processus de préparation des présentations au Conseil du Trésor. Des consultations ont été menées avec les parties prenantes pertinentes et les experts en la matière, et les résultats des évaluations des risques ont été consignés dans les annexes des présentations au Conseil du Trésor (CT).

L’équipe d’audit a constaté qu’il y avait peu de documentation des exercices d’évaluation des risques au-delà de l’évaluation initiale des risques pour le processus de présentation au CT. Il existe également des preuves limitées que les programmes effectuent et documentent une surveillance continue des risques. Les entrevues avec les représentants de programme ont indiqué que les programmes évaluent et atténuent les risques au fur et à mesure qu’ils se présentent, mais cela n’est pas toujours formalisé ou documenté. Il n’y a aucun processus formel en place pour réévaluer les risques identifiés ou l’adéquation des stratégies d’atténuation des risques existantes, ou faire face aux nouveaux risques.

L’équipe d’audit a constaté que des mesures ont été mises en place par les programmes pour répondre aux risques identifiés. Ces mesures établies sont documentées en tant que stratégies de réponse aux risques dans la présentation au Conseil du Trésor. Cependant, l’équipe d’audit n’a pas trouvé de justification formellement documentée pour la sélection des stratégies de réponse à des risques précis et de justification pour lesquelles d’autres options n’ont pas été envisagées. Cela limite la compréhension de l’efficacité et de l’adéquation des stratégies. De plus, il y a un manque de clarté sur la manière dont les actions permettront de réduire la probabilité ou l’impact des risques, ce qui peut poser un défi pour évaluer leur efficacité potentielle. L’équipe d’audit a également constaté que la surveillance des risques se fait principalement par une gestion adaptative basée sur la communication continue et des réunions, plutôt que par l’identification proactive, l’évaluation et la gestion des nouveaux risques. Cette approche ne prend en compte que les risques historiques et actuels et pourrait ne pas reconnaître les nouveaux risques changeants qui pourraient avoir un impact sur les objectifs du programme. Cette approche peut entraîner un manque de préparation face aux risques futurs, aggraver la vulnérabilité et entraîner des perturbations opérationnelles et des impacts financiers.

Risques et incidences

Sans directive adéquate et cohérente sur la façon d’opérationnaliser la gestion des risques au sein des secteurs, il y a un risque que les programmes ne parviennent pas à identifier, évaluer, atténuer et surveiller les risques de manière continue en dehors des exigences du processus de présentation au Conseil du Trésor. Il existe également un risque que les programmes sans composante de présentation au CT ne mettent pas en œuvre de gestion des risques, ou qu’elle soit réalisée de manière incohérente et improvisée, et qu’ils ne soutiennent pas le programme et les secteurs dans leur démarche proactive de gestion des risques en temps opportun.

Recommandations

Recommandation 3 : Il est recommandé que le sous-ministre adjoint du Secteur de politiques stratégique et de l’innovation, en consultation avec tous les sous-ministres adjoints du secteur, détermine si la nécessité de rétablir les profils de risque du secteur.

Grâce à la mise en œuvre des recommandations d’audit 1 et 2, il est prévu que les constatations restantes identifiées dans cette section seront traitées.

Réponse de la direction et plan d’action

La direction est d’accord.

En réponse à la recommandation 3 :

Le PSI-PLR organisera une discussion au CHD pour déterminer si l’exigence de profils de risque sectoriels doit être rétablie.

Calendrier : T3 2025-2026

Annexe A – Critères d’audit

Les critères ont été élaborés en fonction des principaux contrôles établis dans les Critères d’audit du Conseil du Trésor du Canada (CT) liés au Cadre de responsabilisation de gestion – Un outil pour les auditeurs internes, en conjonction avec les instruments pertinents du CT liés à la gestion des risques. Le travail sur le terrain et la conclusion globale de l’audit reposent sur ces critères.

L’objectif du présent audit était d’évaluer si le ministère a mis en place des processus efficaces pour assurer la mise en œuvre et l’intégration de principes solides de gestion du risque à l’appui de l’atteinte de ses objectifs.

Les critères suivants ont été utilisés pour mener l’audit :

Objectifs secondaires de l’audit	Critères d’audit
Sous-objectif 1 : Déterminer si le ministère dispose de mécanismes de gouvernance adéquats et efficaces pour soutenir l’intégration des pratiques et des principes de gestion des risques dans l’ensemble du ministère.	1.1 On s’attend à ce que des mécanismes de gouvernance et de surveillance efficaces aient été établis, soient clairement définis et soient correctement exploités pour faciliter les discussions stratégiques sur les risques à tous les niveaux du ministère.
	1.2 On s’attend à ce que les rôles, les responsabilités et les obligations de rendre compte du SPSI, des responsables des risques, des co-responsables des risques et de tout le personnel ministériel de la gestion des risques soient clairement définis, documentés et communiqués.
	1.3 On s’attend à ce que des directives stratégiques adéquates aient été établies au sein du ministère pour guider les employés dans l’application des principes de gestion des risques, et à ce que ces directives soient alignées avec d’autres rapports ministériels.
Sous-objectif 2 : Déterminer si le ministère dispose de processus adéquats et efficaces pour permettre la communication et la coordination des principes et des activités de gestion des risques dans l’ensemble du ministère.	2.1 On s’attend à ce que des mécanismes de coordination efficaces soient en place entre le SPSI et tous les secteurs afin de permettre la collaboration entre les propriétaires de risques et l’intégration adéquate des considérations de risques dans la mise en œuvre des pratiques de gestion des risques organisationnels de manière continue.
	2.2 On s’attend à ce que des mécanismes de communication efficaces existent et qu’ils soient utilisés pour permettre le partage efficace des informations de gestion des risques au sein de l’organisation, afin de soutenir la prise de décision opportune et éclairée.
	2.3 On s’attend à ce que le ministère ait mis en place des activités de formation adéquates pour soutenir les employés dans le renforcement de leurs compétences pour comprendre, mettre en œuvre et intégrer les principes de gestion des risques dans leurs rôles respectifs.
Sous-objectif 3 : Pour déterminer si des principes de gestion des risques solides sont appliqués de manière efficace au sein des secteurs.	3.1 On s’attend à ce que des outils et des directives efficaces soient disponibles et utilisés par les secteurs pour faciliter l’identification, l’évaluation, la gestion et la surveillance des risques dans leurs différentes opérations.
	3.2 On s’attend à ce que des évaluations exhaustives des risques soient effectuées lors des étapes de planification des nouveaux programmes afin de cerner et d’évaluer les principaux domaines de risque menaçant la réalisation réussie de leurs objectifs.
	3.3 On s’attend à ce que des mesures aient été mises en place par les programmes pour répondre aux risques identifiés, et qu’elles soient correctement exécutées.
	3.4 On s’attend à ce que des processus de surveillance des risques du programme aient été établis afin de réévaluer les risques identifiés, de réévaluer l’adéquation des stratégies d’atténuation des risques existantes et de prendre en compte l’émergence de nouveaux risques.