Archivé - Audit de la gestion du risque d’entreprise

Décembre 2014

Contenu archivé

L'information dont il est indiqué qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

1.0 Introduction

La gestion du risque est une approche explicite et systématique pour identifier, évaluer et traiter les risques liés aux objectifsFootnote 1. Elle facilite l’échange d’information sur le risque, ce qui permet d’améliorer la prise de décisions éclairées et la planification. Par conséquent, la gestion du risque permet d’accroître la résilience de l’organisation en améliorant la prévisibilité pour atteindre les résultats, protéger les biens organisationnels et maintenir la confiance des intervenants. La gestion du risque d’entreprise (GRE) promeut un processus systématique, proactif et continu pour comprendre, gérer et communiquer des renseignements relatifs au risque du point de vue de l’ensemble de l’organisation.

Les principes de gestion du risque de base sont exposés dans le Cadre stratégique de gestion du risque (Cadre du SCT) de 2010 du Secrétariat du Conseil du Trésor (SCT). Accompagné du Guide de gestion intégrée du risque du SCT (Guide du SCT), le Cadre du SCT guide les administrateurs généraux relativement à la mise en œuvre de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation.

La politique de GRE de l’ASFC désigne l’agent principal de gestion des risques comme responsable du processus pour la fonction d’autoévaluation liée à la gestion du risque et pour la fourniture d’assurances quant au fonctionnement efficace de l’organisation du point de vue du risque. L’ agent principal de gestion des risques est chargé de veiller à ce que le Cadre et le Guide du SCT soient pris en compte dans les politiques, les orientations et les outils de l’ASFC.

La Division de la gestion du risque et des initiatives de transformation (DGRIT) dans la Direction générale des services intégrés appuie l’agent principal de gestion des risques en élaborant et en mettant en œuvre le cadre de GRE, y compris la politique relative aux risques, les processus, les outils, les ressources, les services et la formation connexes. La Division offre du soutien horizontal et du leadership relativement à la gestion du risque à toutes les directions générales et à tous les programmes sur des questions liées au risque. Les vice-présidents et les employés sous responsabilité directe du président sont ultimement responsables de la gestion des risques.

2.0 Importance de l’audit

La gestion du risque contribue de manière importante au renforcement de la capacité de l’organisation de reconnaître et de comprendre les nouveaux défis et les nouvelles possibilités. Elle prépare une organisation à réagir aux changements et à l’incertitude, et elle contribue à améliorer la prise de décisions et à mieux affecter les ressources. La gestion du risque est un élément fondamental d’une saine gestion publiqueFootnote 2.

Dans le contexte fiscal actuel de réduction du déficit et de ressources limitées, les décisions clés et l’affectation des ressources dépendent de la gestion et de l’analyse efficaces des risques. La gestion du risque permet aux organisations de réagir de façon proactive aux changements et à l’incertitude en ayant recours à des approches axées sur les risques et à des renseignements pour permettre une prise de décisions de façon plus efficaceFootnote 3.

La vérification est réalisée au bon moment, puisque des changements sont apportés au Cadre de responsabilisation de gestion (CRG). Le CRG de 2014-2015 comporte une nouvelle composante de gestion de base : la gestion intégrée des risques, de la planification et du rendement. L’objectif de cette composante est de renforcer l’intégration et l’harmonisation de la planification dans les ministères et les organismes. Elle répond aussi à un besoin en matière d’orientation coordonnée et cohérente du SCT relativement à la planification et à la gestion des risques et à une harmonisation accrue entre les fonctions intégrées de gestion du risque, de planification et du rendement au sein des ministères et des organismes.

L’objectif de l’audit était de fournir l’assurance que le cadre de gestion du risque d’entreprise (GRE) de l’Agence est en place, que les risques clés pour l’Agence sont déterminés, évalués et gérés efficacement en vue de la réalisation des objectifs, et que l’information sur les risques est intégrée à la planification et à la prise de décisions. La portée de la vérification comprend le cadre et les processus de contrôle de la GRE à l’échelle de l’organisation et dans des directions générales et des programmes sélectionnés, et traite de la façon dont l’information a été utilisée pour réaliser la planification intégrée des activités et la prise de décisions.

Étant donné le mandat de l’ASFC qui consiste à offrir des services intégrés à la frontière à l’appui des priorités en matière de sécurité nationale et publique et à faciliter la libre circulation des personnes et des marchandises, des activités liées à la gestion des risques opérationnels sont réalisées tous les jours. L’audit n’a pas examiné les activités à l’appui de la gestion des risques opérationnels, comme les programmes de ciblage et du renseignement. L’audit mettait l’accent sur le processus d’élaboration du profil de risques de l’entreprise (PRE), qui fait partie du processus de gestion des risques et du cadre de contrôle. Les observations sont fondées sur le PRE de 2013, qui était la version la plus récente au moment où l’audit a été effectué.

Des renseignements supplémentaires sur la portée et les critères de l’audit se trouvent à l’annexe A.

3.0 Énoncé de conformité

Le présent audit respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en font foi les résultats du programme d’assurance et d’amélioration de la qualité de l’Agence. Ainsi que l’exige la Politique sur la vérification interne du Conseil du Trésor, la stratégie et les méthodes d’audit adoptées sont conformes aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes et aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

4.0 Opinion de l’audit

Le cadre de GRE de l’Agence correspond aux principes clés du Cadre et du Guide du SCT servant à cerner, à évaluer et à gérer les risques. Des possibilités d’amélioration se rapportent à l’examen du cadre de l’ASFC pour faire évoluer constamment les pratiques en matière de gestion du risque. L’Agence cerne, évalue, atténue et surveille ces risques à l’échelle de l’organisation grâce à l’application uniforme de la politique de l’ASFC en matière de GRE et des directives connexes. Il y a des occasions de renforcer davantage les pratiques en matière de gestion du risque en deçà du niveau organisationnel en élaborant des stratégiques d’atténuation pour les risques identifiés. La surveillance périodique des risques, des facteurs de risque et des plans d’atténuation à tous les niveaux de l’Agence permettrait de veiller à ce que les changements touchant l’environnement de l’Agence soient définis en temps voulu. Un processus a été défini pour intégrer les renseignements relatifs aux risques à la planification et à la prise de décisions.

Il s’agit d’un risque moyen pour l’Agence.

5.0 Principales constatations

L’approche et le processus de gestion du risque de l’Agence ont été bien définis et documentés dans la politique, le cadre et le guide de l’ASFC sur la GRE, qui sont diffusés à l’échelle de l’organisation. Ensemble, ces documents décrivent un programme de GRE qui cadre habituellement avec les principes de gestion du risque du SCT. Des exceptions notées se rapportent à l’absence d’un examen périodique du cadre de l’Agence et d’une définition de la tolérance au risque.

Une analyse du profil de risques de l’entreprise de 2013 et des profils des risques associés des directions générales et des programmes a indiqué que des risques importants ont été cernés et évalués et qu’ils respectent le processus définit dans le guide sur la GRE de l’ASFC. Des plans d’atténuation des risques ont été dressés et documentés pour les risques organisationnels et ils précisent qui sont les responsables des risques ainsi que les activités à mener pour atténuer les risques organisationnels. Il y a des occasions de renforcer davantage les pratiques en matière de gestion du risque en deçà du niveau organisationnel en élaborant des stratégies d’atténuation pour les risques cernés.

Les risques à l’échelle de l’organisation font l’objet d’une surveillance annuelle. Cependant, les risques cernés qui sont en deçà du niveau organisationnel n’ont pas été surveillés, tel que l’exige le processus de GRE de l’ASFC. La surveillance périodique des risques, des facteurs de risque et des plans d’atténuation des risques à tous les niveaux de l’organisation permettrait à l’Agence de définir en temps voulu les changements ayant une incidence sur son environnement.

L’audit a aussi fait remarquer que les renseignements organisationnels relatifs aux risques étaient intégrés de façon générale aux documents de planification organisationnelle et aux plans intégrés des activités (PIA). Le processus relatif aux PIA est en train d’être révisé pour mieux intégrer les renseignements se rapportant aux risques. Les pratiques organisationnelles en matière de gestion du risque font aussi l’objet d’une surveillance périodique par les organes de gouvernance au sein de l’Agence.

À l’ASFC, le risque est géré quotidiennement au niveau opérationnel. Alors que les pratiques de GRE continuent d’évoluer, sans une approche plus structurée et intégrée pour la gestion du risque en deçà du niveau organisationnel, l’Agence ne peut pas avoir la certitude que les risques cernés sont bien gérés, atténués ou éliminés.

6.0 Résumé des reccomandations

L’audit a permis de formuler deux recommandations ayant trait à ce qui suit :

  • examiner périodiquement le cadre et le programme de GRE de l’ASFC pour identifier et corriger les lacunes et pour saisir les occasions d’amélioration;
  • veiller à ce que des plans officiels d’atténuation en deçà du niveau organisationnel aient été dressés et mis en œuvre et à ce qu’ils fassent l’objet d’une surveillance.

7.0 Réponse de la direction

La Direction générale des services intégrés (DGSI) est d’accord avec les recommandations issues de l’audit de la gestion du risque à l’Agence. La façon principale dont la DGSI donnera suite aux recommandations de l’audit sera, d’une part, de procéder à un examen approfondi et à la mise à jour du cadre de GRE, y compris de la politique sur la GRE et d’autres outils connexes, et d’autre part, de poursuivre l’intégration de la gestion du risque dans les processus de planification des activités et de mesure du rendement. 

À ce titre, la DGSI a déjà pris des mesures qui permettront d’améliorer et de faire évoluer le programme de gestion du risque de l’Agence et continuera à collaborer avec les principales parties concernées à travers les directions générales pour poursuivre dans cette lancée. La DGSI cherche aussi à prendre contact avec ses homologues, les administrations des douanes et de l’immigration de Border 5 et de la Conférence des cinq nations, pour sonder les possibilités d’échanger des pratiques exemplaires avec ses principaux partenaires. Ces processus de consultation serviront de fondement à l’élaboration d’une nouvelle direction stratégique pour favoriser l’évolution du programme de gestion du risque. La DGSI mettra en œuvre son plan d’action d’ici la fin de juillet 2015.

8.0 Constatations de l’audit

8.1 Cadre de gestion du risque

Critères d’audit : 

  • Le cadre et les processus de gestion du risque de l’ASFC sont documentés, exhaustifs et communiqués à l’échelle de l’Agence.

8.1.1 Cadre et guide de gestion du risque du SCT

Le Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor (Cadre du SCT)  est un instrument de politique clé, qui présente une approche axée sur des principes de gestion du risque pour tous les ministères et organismes. Ce cadre décrit les responsabilités des administrateurs généraux en ce qui a trait à la gestion efficace de leur organisation dans tous les domaines de travail et à tous les niveaux de l’organisation, y compris la gestion du risque, et il décrit les attentes en matière de pratique de gestion du risque efficace.Footnote 4 Il est appuyé par le Guide de gestion intégrée du risque du SCT (Guide du SCT), qui présente une orientation pratique et des éléments à prendre en considération pour l’opérationnalisation de ces principes. Les principes constituent des exigences minimales et ils encouragent les ministères à se concentrer sur des domaines qui les aideront à adopter une approche cohérente et uniforme pour la prise de décisions éclairées sur les risques. Le Cadre du SCT ne comporte pas d’exigences particulières relativement à la gestion intégrée des risques pour les ministères, puisque leur mandat, leur exposition aux risques et leur capacité de gestion varient.

Le Guide du SCT fait état d’un cadre et d’un processus pour la gestion du risque qui comprend des principes de gestion du risque, les éléments du cadre et les étapes d’un processus, comme la communication continue, l’évaluation et l’atténuation des risques, ainsi que la surveillance et l’examen.

8.1.2 Le cadre de GRE de l’Agence est en adéquation avec le cadre du SCT

L’Agence a consigné par écrit son approche pour la gestion du risque dans la Politique sur la GRE de l’ASFC, le Cadre de GRE de l’ASFC (processus et outils) et le Guide de gestion du risque de l’ASFC.

Notre examen du cadre, de la politique et du guide de GRE de l’ASFC a permis de déterminer que l’Agence possède un cadre et un processus de gestion du risque totalement documentés. Ce cadre et ce processus de gestion du risque sont inspirés du Cadre du SCT et du Guide du SCT, et ils contiennent la plupart des éléments clés, notamment :

  • un mandat et un engagement manifestes envers la GRE grâce à une politique de GRE définie et appuyée et des rôles et responsabilités attribués en ce qui a trait à la gestion du risque, lesquels cadrent avec la directive du SCT;
  • une conception du cadre qui est harmonisée de façon générale à la directive du SCT (p. ex. une compréhension de l’Agence et de son environnement, une politique de GRE établie, l’intégration aux processus organisationnels, comme la planification, et des ressources affectées à la GRE);
  • un processus de gestion du risque qui a été conçu pour comprendre toutes les activités clés présentées par le SCT (p. ex. les activités liées au processus, comme la communication et la consultation, l’établissement du contexte, le processus d’évaluation du risque, les processus d’atténuation des risques et les directives pour surveiller et examiner les risques cernés et les stratégies d’atténuation).

Toutefois, le Cadre de GRE de l’ASFC ne comprenait pas les éléments suivants tirés de la directive du SCT :

  • surveillance et amélioration continues du Cadre de GRE;
  • définition de la tolérance au risque et directive connexe.

Surveillance et amélioration continues du Cadre de GRE

L’amélioration continue de la culture et de la capacité de gérer le risque encourage les organisations à surveiller, examiner et améliorer constamment leur approche et leurs processus en matière de gestion du risque pour assurer l’efficacité, l’efficience et la pertinence du soutien au rendement global de l’organisation.

Un cadre intégré de gestion du risque a été approuvé par le Comité exécutif en novembre 2008, et il a été remplacé par une nouvelle politique de GRE, y compris le processus et les outils, en août 2010. De plus, un plan stratégique en matière de GRE a été dressé en 2010, lequel comprend deux objectifs principaux ainsi que des indicateurs de rendement. Depuis l’élaboration de la Politique de GRE et du Plan stratégique en matière de GRE, la surveillance continue du Cadre de GRE de l’ASFC par la DGRIT n’a pas été mise en œuvre. La surveillance et l’établissement de rapports d’après les indicateurs de rendement, comme ils sont présentés dans le Plan stratégique en matière de GRE, ne se sont pas concrétisés. Une mise à jour et une évaluation en fonction des indicateurs de rendement ont été réalisées au moment de l’audit. Sans un examen périodique du cadre de gestion du risque de l’Agence, les pratiques en matière de gestion du risque pourraient ne pas évoluer suffisamment pour répondre aux besoins de l’Agence à tous les niveaux de l’organisation.

Définition de la tolérance au risque et directive connexe

Le cadre du SCT définit la tolérance au risque comme étant la volonté d’une organisation d’accepter ou de rejeter un niveau donné de risque résiduel (exposition). La tolérance au risque peut varier au sein d’une organisation, mais elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier en particulier. Il faut que la tolérance au risque soit claire à tous les niveaux de l’organisation afin de favoriser une prise de décisions éclairées par l’analyse du risque et le recours à des approches tenant compte du risqueFootnote 5. En dépit du fait que les niveaux de tolérance au risque ne constituent pas une exigence particulière, le SCT suggère qu’une directive soit donnée sur l’établissement de niveaux pour les risques cernés.

La documentation existante sur les risques ne comprenait pas les processus et les directives sur l’établissement des niveaux de tolérance aux risques cernés.

La direction a indiqué que la tolérance au risque était exprimée à l’Agence par l’intermédiaire de la réponse de la direction aux risques cernés (c.-à-d. accepter, surveiller ou atténuer) et qu’il était difficile de définir et d’établir le niveau de tolérance à l’Agence.

La définition de la tolérance au risque et l’élaboration d’une méthodologie pour exprimer les niveaux de tolérance renforceraient les pratiques intégrées en matière de gestion du risque à l’Agence. En retour, cela faciliterait la prise de décisions éclairées relatives au risque en ce qui a trait à l’acceptation du risque, à la mobilisation de la haute direction quand les niveaux de tolérance sont dépassés et à l’établissement de l’ordre de priorité pour les ressources affectées à l’atténuation des risques et à la planification opérationnelle.

Recommandation nº 1 :

La vice-présidente de la Direction générale des services intégrés doit revoir régulièrement le cadre et le programme de gestion du risque de l’ASFC afin de déceler et de corriger les lacunes et les améliorations possibles pour favoriser l’évolution des pratiques de gestion du risque de l’Agence.

Réponse de la direction Date d’achèvement

La Direction générale des services intégrés est d’accord avec la présente recommandation. Elle se prépare actuellement à entreprendre un examen rigoureux de la politique de GRE, du Guide de gestion du risque, du document sur le PRE et le processus de PRE afin de relever les lacunes et d’apporter les changements nécessaires pour reprendre les améliorations qui permettront de faire évoluer le programme de gestion du risque de l’Agence. Par la mise à jour de la politique de gestion du risque existante, la Direction générale s’engage à revoir le cadre et le programme de gestion du risque de l’Agence tous les trois ans, ce qui correspond au cycle triennal d’évaluation du Cadre de responsabilisation de gestion.

Juillet 2015

8.2 Pratiques en matière de gestion du risque

Critères d’audit

  • La direction détermine et évalue les risques importants qui pourraient empêcher la réalisation de ses objectifs.
  • La direction détermine et évalue les contrôles actuels utilisés pour gérer les risques.
  • La direction répond officiellement aux risques, et communique ceux-ci ainsi que les stratégies de gestion des risques aux intervenants appropriés à l’échelle de l’organisation, ce qui permet à l’Agence de s’acquitter de ses responsabilités.
  • L’information sur les risques est intégrée à la planification et à la prise de décisions, et sert à ces fins.
  • La  gestion du risque fait l’objet d’une surveillance régulière par des organes de surveillance au sein de l’Agence.

8.2.1 Contexte

Comme il est indiqué dans le Cadre et la Politique sur la GRE, le processus de gestion du risque de l’ASFC comporte les éléments suivants, qui sont présentés dans la figure 1 ci-dessous.

  • 1. Établir le contexte du risque
  • 2. Appréciation du risque
    • Déterminer et analyser les risques
    • Déterminer et analyser les contrôles
    • Évaluer les risques
  • 3. Traiter les risques
  • 4. Surveiller, réévaluer les risques et en rendre compte
  • 5. Communication et consultations continues

Figure 1 : Le processus de gestion du risque de l’ASFCFootnote 6

  • 1.0 Le processus de gestion du risque de l’ASFC
    • 1.1. Établir le contexte du risque
    • 1.2. Appréciation du risque
      • 1.2.1. Déterminer et analyser les risques
      • 1.2.2. Déterminer et analyser les contrôles
      • 1.2.3. Évaluer les risques
    • 1.3. Traiter les risques
    • 1.4. Surveiller, réévaluer les risques et en rendre compte
    • 1.5. Communication et consultations tout au long du processus

La DGRIT a simplifié la tenue d’activités d’évaluation du risque en deçà du niveau organisationnel dans les diverses équipes de gestion de la direction générale (EGDG) et les tables de gestion de programmes (TGP)Footnote 7. L’exercice simplifié d’évaluation du risque comprenait la réalisation d’entrevues avec les membres des EGDG et des TGP, la création et la validation des répertoires de risques des EGDG/TGP, l’évaluation des risques cernés et la création et la validation du profil de risque des EGDG/TGPFootnote 8. Ces profils de risques contribuent à la détermination des risques organisationnels, qui sont ensuite présentés aux vice-présidents et aux membres du Comité exécutif. La GRE de 2013 a aussi tenu compte de sources de renseignements supplémentaires, comme l’analyse de l’environnement de l’ASFC, l’évaluation nationale des risques à la frontière, le Plan de sécurité ministérielle, le Profil de risques Par-delà la frontière et les sommaires du rendement de l’Agence.

Même si la DGRIT simplifie le processus de détermination des risques, les vice-présidents sont ultimement responsables de gérer les risques de leurs secteurs de responsabilité.

8.2.2 Établir le contexte

Le but d’établir le contexte des activités de gestion du risque est de définir la portée de l’exercice de détermination des risques, les intervenants clés et l’environnement opérationnelFootnote 9. De plus, cela permet à une organisation de recueillir des renseignements sur des faits et des tendances ayant une incidence sur l’environnement opérationnel, lesquels peuvent mettre en péril l’atteinte de ses objectifs. L’audit a déterminé que l’échantillon de profils de risque fournissait un contexte détaillé de la direction générale ou du secteur de programme faisant l’objet d’une évaluation.

8.2.3 Déterminer et analyser les risques

Le Guide de gestion du risque de l’ASFC présente le processus pour identifier et évaluer les risques importants. L’audit a déterminé que la détermination et l’évaluation des risques importants qui peuvent nuire à l’atteinte des objectifs ont été réalisées grâce au profil de risque des directions générales et des TGP ainsi que le profil de risque de l’entreprise (PRE) de 2013. Ces documents portant sur la détermination et l’évaluation du risque ont suivi le processus exposé dans le Guide. Les risques ont été cernés, documentés et évalués, puis liés à l’atteinte d’au moins un objectif opérationnel, et ils comprenaient aussi des éléments à prendre en considération liés à la fraude.

L’audit a choisi quatre des treize profils de risque des EGDG /TGP et le PRE de 2013 pour déterminer si les risques cernés comprenaient les caractéristiques attendues, notamment :

  • les sources internes et externes et/ou les facteurs de risques sont pris en compte;
  • les conséquences possible sont prises en compte;
  • les risques cernés se rapportent à la Direction générale/au programme/au secteur;
  • l’atteinte d’au moins un objectif particulier est prise en compte;
  • les risques cernés sont évalués au moyen des échelles publiées de l’Agence en ce qui a trait aux répercussions, à la probabilité et aux tendances;
  • le risque résiduel en tant que dernière évaluation de l’exposition au risque est pris en compte.

Les profils de risque des  EGDG /TGP sélectionnés et le PRE ont été harmonisés à la directive de l’ASFC en ce qui a trait à l’approche et à la méthodologie utilisées dans le cadre du processus d’évaluation du risque. Par exemple, dans l’échantillon sélectionné, les énoncés de risque étaient uniformes et utilisaient un libellé similaire, les sources internes et externes de facteurs de risque ont été prises en compte et les conséquences possibles ont été étudiées pour chaque risque.

Les risques du PRE sont cernés par la DGRIT à partir de diverses sources de renseignements, comme les profils de risque des directions générales et des TGP, le plan de sécurité ministérielle, l’évaluation nationale des risques à la frontière, l’analyse de l’environnement de l’ASFC et le profil de risque Par-delà la frontière. La DGRIT ne disposait pas de documents ou d’un processus officiels, comme le registre central des risques, pour indiquer la manière utilisée par l’Agence pour prendre en compte les diverses sources lors de l’élaboration du PRE et dans quelle mesure elle l’a fait. L’équipe de vérification a examiné le processus et les renseignements provenant de ces sources pour déterminer si les risques importants ont été intégrés au PRE de l’Agence.

La DGRIT a facilité la tenue de l’activité d’évaluation du risque pour établir les profils de risque des EGDG et des TGP, à laquelle a participé le personnel des principales directions générales et TGP. Lors de discussions tenues avec des directeurs généraux, des directeurs, des directeurs régionaux, etc., les risques ont été cernés, puis validés par voteFootnote 10.

De façon générale, les risques sont cernés, analysés et évalués à l’échelle de l’Agence grâce à l’application uniforme de la Politique de GRE de l’ASFC et des directives connexes.

8.2.4 Évaluation du risque

Selon le Guide de GRE de l’ASFC, une fois les risques ont étés identifiés et évalués, les contrôles en vigueur doivent être recensés et analysés. L’efficacité des contrôles est évaluée d’après l’échelle et la matrice d’évaluation de l’efficacité des contrôles en cinq points fournies dans le Guide de GRE. Des directives supplémentaires sont données dans le Cadre de contrôle de gestion de l’ASFC à l’équipe de gestion qui entreprend l’autoévaluation des contrôles.

Les profils de risque faisant partie de notre échantillon ont cerné les contrôles pertinents dont l’efficacité a été autoévaluée au moyen des directives appropriées de l’ASFC. Lorsque nous avons demandé la documentation servant à justifier l’évaluation de l’efficacité des contrôles pour réaliser notre examen, aucun document ne nous a été remis. La documentation du processus se rapportant à la façon dont les contrôles sont identifiés et évalués pour déterminer l’efficacité ferait évoluer la phase d’évaluation du contrôle dans le processus d’évaluation des risques au niveau de la direction générale/TGP.

À la suite des résultats de l’évaluation des contrôles, les risques ont été évalués selon la probabilité et l’incidence. Pour le cycle de PRE de 2013, les membres du Comité exécutif ont évalué les risques organisationnels en votant sur l’exposition du point de vue de la probabilité et de l’incidence. À la suite du vote, les responsables de la gestion des risques et les réponses aux risques ont été déterminés pour chaque risque.

L’audit a conclu que la phase d’évaluation des risques relatifs au processus de GRE était complète et respectait les directives de l’Agence.

8.2.5 Traiter les risques

La Politique de GRE de l’ASFC exige l’élaboration de stratégies/de plans d’atténuation par la direction pour établir l’ordre de priorité des risques quand il n’est pas possible d’affronter tous les risques. Une fois les risques cernés, l’efficacité des contrôles évaluée et les mesures pour donner suite aux risques déterminées (p. ex. atténuer, accepter et surveiller), des plans d’atténuation sont requis pour les risques dont la mesure à prendre est « l’atténuation ».

Pour le PRE de 2013, des plans d’atténuation des risques ont été dressés et documentés, et les bons responsables des risques et les activités d’atténuation adéquates ont été déterminés pour traiter les risques conformément à la directive sur le processus de l’ASFC. Des 20 principaux risques organisationnels cernés, il a été établi que des mesures d’atténuation devaient être prises pour 13 d’entre eux. Notre analyse des stratégies d’intervention en matière de risques fournie à l’annexe B du PRE de 2013 indique que des stratégies d’atténuation ont été établies et documentées.

En deçà du niveau organisationnel, le processus de GRE de l’ASFC exige que les responsables désignés des risques élaborent des stratégies d’intervention en matière de risques à l’égard des risques pour lesquels des mesures « d’atténuation » doivent être prises. Pour les quatre profils de risque sélectionnés, les responsables des risques ont été identifiés. Toutefois, des stratégies d’atténuation des risques documentés n’existaient pas, à moins que le risque soit intégré au PRE et atténué grâce au plan d’atténuation du PRE par défaut. Il a été déterminé que la DGRIT ne demande ni ne reçoit de copies des plans d’atténuation en deçà du niveau organisationnel.

Sans une approche plus structurée et intégrée pour gérer les risques en deçà du niveau organisationnel, l’Agence ne peut pas avoir la certitude que les risques cernés sont bien gérés, atténués ou éliminés.

8.2.6 Intégration des risques à la planification et à la prise de décisions

Une fois que les risques ont été identifiés, évalués et traités, le processus de gestion du risque devrait être intégré à la planification et à la prise de décisionsFootnote 11. En intégrant des renseignements relatifs aux risques à la prise de décisions, à l’affectation de ressources et à l’établissement de l’ordre de priorité, l’Agence peut affecter ses ressources financières et non financières de façon plus efficace et efficiente.

Au niveau organisationnel, l’une des formes d’intégration des renseignements relatifs aux risques à la planification a été établie dans le Rapport sur les plans et les priorités (RPP) et le Rapport ministériel sur le rendement (RMR). L’audit a examiné le RPP de 2013-2014, le RPP de 2014-2015 et le RMR de 2012-2013, et elle a déterminé que les renseignements relatifs aux risques du PRE avaient été intégrés à ces documents de planification et étaient liés aux priorités.

Au niveau de la direction générale, des directives détaillées ont été élaborées sur la planification intégrée des activités, lesquelles comprennent des modèles expliquant la manière dont les renseignements relatifs aux risques doivent être intégrés à la planification et à la prise de décisions. Même si certains renseignements relatifs aux risques ont été inclus dans le cadre des plans intégrés examinés, le degré de renseignements liés aux risques était inégal. Bien que les plans soient surtout fondés sur les activités de base et/ou les engagements clés des directions générales, la façon dont le risque a été pris en compte dans la prise de la décision définitive d’affecter des ressources n’était pas évidente.

L’intégration accrue des risques au processus de planification permettrait à l’Agence de prendre des décisions plus éclairées concernant l’ordre de priorité et l’affection des ressources. La DGRIT a dit que le processus de planification intégrée des activités serait examiné au cours de l’exercice 2014-2015.

8.2.7 Surveillance et contrôle

Surveillance et réévaluation des risques et production de rapports sur ceux-ci

La politique de l’ASFC sur la GRE définit la surveillance des risques comme étant le processus de surveillance des risques et les plans d’atténuation et d’action connexes afin de veiller à ce que les niveaux d’exposition aux risques demeurent acceptables. Par conséquent, on s’attend à ce que des activités de surveillance des risques soient menées à tous les niveaux de l’Agence.

Au niveau organisationnel, le directeur de la DGRIT est chargé de l’élaboration et de la mise en œuvre d’un processus de surveillance et de mesure du rendement visant à surveiller les risques à l’Agence et les stratégies d’intervention organisationnelle. L’audit a déterminé que les risques du PRE et les stratégies d’atténuation des risques sont surveillés annuellement par la DGRIT grâce à l’élaboration du PRE (qui a lieu tous les deux ans) et par des comptes rendus sur l’état du PRE (qui ont lieu pendant l’année où le PRE n’est pas élaboré). Le compte rendu sur l’état du PRE réalisé lors des années paires fournit des renseignements sur les changements apportés à l’environnement en matière de risque de l’Agence et sur les progrès réalisés relativement à ces efforts d’atténuation. Dans une certaine mesure, les mesures d’intervention en matière de risque établies dans le cadre du PRE sont surveillées par la DGRIT grâce à ces comptes rendus sur l’état du PRE. Dans le cadre de ce processus, les responsables des risques sont consultés, et divers documents organisationnels (p. ex. analyse de l’environnement) sont examinés. Les risques à jour sont ensuite présentés aux vice-présidents, puis validés par ces derniers. L’état de la mise en œuvre des activités d’atténuation prévues est autodéclaré par les responsables du risque. À l’exception du PRE et du compte rendu sur l’état du PRE, aucune autre activité de surveillance des risques liés au PRE et stratégie d’atténuation connexe n’est exécutée par la DGRIT au niveau organisationnel. Au cours de la vérification, la DGRIT a dit que les résultats relatifs à la surveillance du PRE seraient présentés semestriellement au Comité exécutif.

En deçà du niveau organisationnel, les vice-présidents, les employés sous responsabilité directe du président et les gestionnaires sont responsables de la surveillance des risques dans leur secteur de responsabilité. Comme il n’y avait pas de stratégies d’atténuation pour les risques liés aux EGDG et aux TGP, de telles stratégies n’ont pas pu être officiellement surveillées. Les intervenants des EGDG et des TGP participant au processus d’évaluation des risques ont dit que les risques, les enjeux et les contrôles font l’objet d’une discussion lors des réunions des TGP et de la direction, mais de la documentation n’a pas été fournie à l’appui de ces discussions.

Sans une surveillance régulière des risques, des facteurs de risque et des stratégies d’atténuation des risques, y compris des mises à jour sur l’efficacité des contrôles à tous les niveaux de l’organisation, les changements touchant l’environnement de l’Agence pourraient ne pas être cernés rapidement. Cela pourrait nuire à l’atteinte des objectifs/au respect des priorités de l’Agence et entraîner des pertes d’efficacité (p. ex. accroissement des ressources pour contrôler un risque qui n’existe plus).

Contrôle des pratiques de gestion du risque de l’ASFC

L’équipe d’audit s’attendait à constater que les structures de gouvernance favorisent une culture et des pratiques de gestion informées du risque dans l’ensemble de l’Agence. Comme l’indique la Politique de GRE de l’ASFC et les mandats de divers comités, la responsabilité d’examiner les pratiques en matière de gestion du risque de l’Agence a été confiée aux comités et aux postes suivants :

  • le Comité de vérification de l’Agence;
  • le Comité exécutif;
  • le directeur de la DGRIT;
  • le dirigeant principal de la vérification.

Le Comité de vérification a la responsabilité de donner des recommandations et des conseils objectifs au président sur la suffisance, la qualité et les résultats de l’assurance de l’adéquation et du fonctionnement des cadres et des processus de gestion, de contrôle et de gouvernance du risque à l’Agence. Le Comité de vérification a également la responsabilité d’examiner périodiquement le Profil des risques d’entreprise et les ententes en matière de gestion du risque de l’Agence et de documenter toute préoccupation importante liée au cadre et aux processus de gestion du risque de l’Agence. La charte du Comité de vérification exige que le comité donne au président des conseils objectifs relatifs aux recommandations sur l’adéquation et le fonctionnement du cadre et des processus de gestion du risque de l’Agence. L’audit a confirmé que le comité assume ses responsabilités en examinant périodiquement le PRE. Des mises à jour de programme ainsi que le PRE sont présentés par la DGRIT et ils sont habituellement communiqués aux membres du comité tous les ans.

En plus du Comité de vérification, le Comité exécutif est tenu de cerner les risques clés, d’établir l’ordre de priorité des activités de l’Agence et de déterminer et de surveiller les résultats attendus et de faire rapport sur ceux‑ci, pour veiller à ce qu’il y ait des liens adéquats avec les principaux documents relatifs à la responsabilisation de la gestionFootnote 12. L’audit a déterminé que des comptes rendus sur la situation ont été transmis au Comité exécutif pour le PRE et les plans d’atténuation de 2011, le compte rendu de la situation de 2012 sur le PRE et le PRE de 2013, mais pas pour les plans d’atténuation relatifs au PRE de 2013.Footnote 13

Selon la Politique de GRE de l’ASFC, le dirigeant principal de la vérification (DPV) est chargé de réaliser une évaluation indépendante et objective de l’application du cadre, des stratégies et des pratiques de GRE. Les responsabilités du dirigeant principal de la vérification en ce qui a trait à la GRE sont exercées grâce à la réalisation de l’audit.

En guise de conclusion, l’audit a déterminé que les pratiques en matière de gestion du risque au niveau organisationnel sont périodiquement surveillées par des organes de surveillance au sein de l’Agence.

Recommandation no 2 :

La vice-présidente de la Direction générale des services intégrés doit suivre la politique et les directives sur la gestion du risque de l’ASFC afin de s’assurer que des plans d’atténuation des risques à un niveau plus bas qu’au niveau organisationnel sont développés et mis en place et qu’un suivi est effectué.

Réponse de la direction Date d’achèvement

La Direction générale des services intégrés (DGSI) est d’accord avec la présente recommandation. Elle a intégré aux modèles de plans d’activités intégrés 2015-2018 des éléments de gestion du risque à considérer. Parmi ces éléments, les demandes appelant les directions générales à concevoir leur plan d’atténuation des risques officiel dans lequel elles indiqueront les principaux engagements, à l’échelon des directions, qui permettront de diminuer les risques et d’atténuer les facteurs de risque relevés dans le profil de risque de l’Agence de 2013. La version révisée de la politique de gestion du risque de l’Agence permettra de clarifier les responsabilités et les obligations des vice-présidents, dont celles de s’assurer que des plans d’atténuation des risques sont élaborés, mis en œuvre et surveillés à l’échelon de toutes les directions générales. Elle permettra également de clarifier le rôle de la vice-présidente de la DGSI en ce qui concerne le suivi et la reddition des comptes en ce qui concerne la mise en application de la politique sur la gestion du risque à l’Agence.

Novembre 2015

Annexe A – À propos de l’audit

Objectifs et étendue

L’objectif de l’audit était de fournir l’assurance que le cadre de gestion du risque d’entreprise de l’Agence existe, que les risques pour l’Agence sont déterminés, évalués et gérés efficacement en vue de la réalisation des objectifs, et que l’information sur les risques est intégrée à la planification et à la prise de décisions.

La portée de l’audit couvrait le cadre et les processus de contrôle de la GRE à l’échelle de l’organisation et dans des directions générales et des programmes sélectionnés, ainsi que la façon dont l’information a été intégrée aux activités de gestion actuelles, y compris la planification des opérations et des activités et la prise de décisions. L’audit a mis l’accent sur la politique, les procédures et les outils pour la GRE de l’Agence, et a aussi tenu compte de la façon dont les autres documents de gestion du risque, y compris l’évaluation nationale des risques à la frontière, le plan de sécurité ministériel, le plan stratégique de gestion des urgences et les projets principaux, ont été utilisés dans le cadre du processus de GRE.

L’audit a été réalisé de février à août 2014 et il portait sur le processus d’élaboration du profil des risques d’entreprise, qui fait partie du processus de GRE et du cadre de contrôle. Les observations sont fondées sur le PRE de 2013, qui était la version la plus récente au moment où l’audit a été effectué.

Enfin, l’audit a porté sur la question à savoir si le processus de GRE est intégré comme il se doit aux plans stratégiques et opérationnels à l’échelle de l’Agence au niveau des directions générales et des TGP.

Un audit de la gestion du risque d’entreprise a été approuvé par le Comité de vérification de l’Agence dans le cadre du Plan de vérification axé sur les risques de 2013-2014 à 2015-2016.

Évaluation des risques

Notre évaluation des risques, qui a été faite pendant la phase de planification, a permis de cerner les principaux secteurs de risque suivants :

  • Si le processus de GRE de l’Agence, y compris la surveillance, n’est pas conforme à un cadre de gestion du risque approprié (c.-à-d. le Cadre de gestion du risque du SCT, etc.) et s’il n’est pas communiqué adéquatement, l’efficacité de la GRE à l’échelle de l’Agence pourrait être réduite.
  • Si le processus de GRE n’est pas assuré par les bonnes personnes à l’échelle de l’Agence, les profils du risque et les décisions en découlant pourraient ne pas tenir compte des risques actuels et réels menaçant la réalisation des objectifs de l’Agence.
  • Si la GRE n’est pas pleinement intégrée aux pratiques de planification et de prise de décisions et que l’information sur les risques n’est pas communiquée à l’échelle de l’Agence, les vulnérabilités recensées pourraient ne pas servir à planifier et à affecter les ressources, et ne pas être gérées et atténuées efficacement en vue de la réalisation des objectifs.

Approche et Méthodologie

La phase d’examen de l’audit a été réalisée selon l’approche suivante :

  • Examiner les documents clés sur la gestion du risque;
  • Mener des entrevues sur les processus, les rôles et les responsabilités relatifs à la GRE, sur la fonction de surveillance et le contrôle, etc.;
  • Examiner le mandat et les comptes rendus des décisions du comité de gestion;
  • Examiner les documents sur les processus et les rapports de surveillance de la GRE;
  • Examiner un échantillon d’évaluations des risques;
  • Examiner un échantillon de documents clés de planification organisationnelle.

Critères d’audit

Compte tenu des constatations préliminaires de la phase de planification, les secteurs d’intérêt et les critères d’audit suivants ont été définis :

Secteurs d’intérêt Critères d’audit
1. Cadre de gestion du risque
  • 1.1 Le cadre et les processus de gestion du risque de l’ASFC sont documentés, exhaustifs et communiqués à l’échelle de l’Agence.
2. Pratiques de gestion du risque
  • 2.1 La direction détermine et évalue les risques importants qui pourraient empêcher la réalisation de ses objectifs.
  • 2.2 La direction détermine et évalue les contrôles actuels utilisés pour gérer les risques.
  • 2.3 La direction répond officiellement aux risques, et communique ceux-ci ainsi que les stratégies de gestion des risques aux intervenants appropriés à l’échelle de l’organisation, ce qui permet à l’Agence de s’acquitter de ses responsabilités.
  • 2.4 L’information sur les risques est intégrée à la planification et à la prise de décisions, et sert à ces fins.
  • 2.5 La gestion du risque fait l’objet d’une surveillance régulière par des organes de surveillance au sein de l’Agence.

Annexe B – Liste de sigles

ASFC
Agence des services frontaliers du Canada
CRG
Cadre de responsabilisation de gestion
DGRIT
Division de la gestion du risque et des initiatives de transformation
DGSI
Direction générale des services intégrés
EGDG
Équipe de gestion de la direction générale
GRE
Gestion du risque d’entreprise
PRE
Profil des risques d’entreprise
RMR
Rapport ministériel sur le rendement
RPP
Rapport sur les plans et les priorités
SCT
Secrétariat du Conseil du Trésor
TGP
Table de gestion de programme

Notes

Footnotes

Footnote 1

Annexe A de la Politique sur la GRE de l’ASFC.

Return to footnote 1 referrer

Footnote 2

Guide de gestion intégrée du risque du SCT.

Return to footnote 2 referrer

Footnote 3

Adapté du site du SCT consacré à la gestion du risque.

Return to footnote 3 referrer

Footnote 4

Secrétariat du Conseil du Trésor, Centre d’excellence en gestion du risque (http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/rm-gr-fra.asp).

Return to footnote 4 referrer

Footnote 5

Annexe A du Cadre de gestion du risque du CT.

Source : http://www.techopedia.com/definition/23583/mission-critical-system (dernier accès le 20 juin 2014)

Return to footnote 5 referrer

Footnote 6

Guide de gestion du risque de l’ASFC

Return to footnote 6 referrer

Footnote 7

Les tables de gestion de programmes appuient la planification stratégique et les communications horizontales à l’échelle de l’Agence. Plus particulièrement, le rôle des tables de gestion de programmes (TGP) comprend l’établissement des priorités des programmes, les affectations de ressources, les mesures du rendement et des risques, la recherche et l’adoption de pratiques exemplaires, la compréhension des coûts liés aux programmes et l’établissement d’une cohérence à l’échelle nationale dans les secteurs des programmes ainsi que la réalisation d’activités de planification stratégique (c.-à-d. établissement de priorités à plus long terme et planification de la relève). Ces éléments ont été établis dans le modèle de gouvernance de l’ASFC en 2012, et ils font partie du modèle de gestion fonctionnel.

Return to footnote 7 referrer

Footnote 8

Voir les profils individuels de risque de l’EGDG/TGP

Return to footnote 8 referrer

Footnote 9

Adapté du Guide de gestion du risque

Return to footnote 9 referrer

Footnote 10

L’équipe d’audit n’a pas examiné les résultats du vote.

Return to footnote 10 referrer

Footnote 11

Adapté des directives sur la planification intégrée des activités.

Return to footnote 11 referrer

Footnote 12

Mandat du CE.

Return to footnote 12 referrer

Footnote 13

Veuillez noter que, au moment de l’audit, le PRE de 2014 n’avait pas encore été élaboré/approuvé.

Return to footnote 13 referrer

Date de modification :