La gestion intégrée du risque

Points saillants

1.1 Dans les six ministères que nous avons vérifiés, les cadres supérieurs avaient pris certaines mesures préliminaires et avaient ainsi manifesté leur détermination à mettre en oeuvre une gestion intégrée du risque. Leur appui constant et visible sera nécessaire, à la longue, pour convaincre les gestionnaires et les employés, ce qui est essentiel au succès de l'initiative.

1.2 Toute initiative qui exige un changement important, comme la gestion intégrée du risque, doit reposer sur un plan d'action bien étudié pour progresser. Dans les plans d'action, si importants soient-ils, des six ministères que nous avons examinés, certains éléments essentiels, nécessaires à la mise en oeuvre de la gestion intégrée du risque dans l'ensemble de chaque ministère, étaient absents. Faute de plans d'action solides, l'initiative pourrait dériver, à notre avis, malgré la forte priorité attribuée à la mise en oeuvre du Cadre de gestion intégrée du risque en tant qu'élément important tant de la fonction moderne de contrôleur que de l'amélioration des rapports au Parlement.

1.3 L'établissement du profil de risque, autre élément essentiel, comporte une étape cruciale, soit la définition de la tolérance au risque dans une organisation. Parmi les ministères que nous avons vérifiés, aucun n'avait établi un profil complet indiquant clairement le niveau de risque que la haute direction était disposée à tolérer dans l'ensemble de l'organisation. En établissant des limites claires quant à la tolérance au risque, les ministères peuvent mieux intégrer la gestion du risque dans leurs activités. Sans ces limites claires, certains gestionnaires peuvent choisir d'éviter entièrement le risque, et lui préférer le statu quo; d'autres peuvent prendre des risques plus prononcés que ce que la haute direction est disposée à accepter.

1.4 Dans deux des ministères que nous avons vérifiés, c'est à la vérification interne qu'a été confiée la responsabilité de mettre en oeuvre des volets importants de l'initiative de gestion intégrée du risque pour le compte de la haute direction, et d'en rendre compte. À notre avis, la vérification interne ne peut pas participer aussi étroitement à la mise en oeuvre de l'initiative sans risquer de compromettre sa capacité d'assurer plus tard la direction, en toute objectivité et indépendance, de l'efficacité de la gestion intégrée du risque dans le ministère.

1.5 Le Secrétariat du Conseil du Trésor a produit au départ des documents pour aider les ministères à commencer la mise en oeuvre de l'initiative. Toutefois, il leur faudra des indications plus pratiques sur la façon d'exécuter des étapes bien définies en vue de l'intégration de la gestion du risque dans leur culture organisationnelle.

Contexte et autres observations

1.6 La gestion intégrée du risque consiste à tenir compte de l'information sur les risques pour établir l'orientation stratégique d'une organisation et à prendre des décisions qui respectent les seuils de tolérance établis du ministère. Il faut établir des pratiques plus rigoureuses de gestion du risque dans l'ensemble de l'administration fédérale afin que les ressources soient mieux gérées, que les décisions soient meilleures et, en fin de compte, que la fonction publique soit plus efficace.

1.7 En avril 2001, le Secrétariat du Conseil du Trésor a publié le Cadre de gestion intégrée du risque dans le contexte de l'initiative de modernisation de la fonction de contrôleur visant à renforcer les capacités de gestion dans les ministères et les organismes.

1.8 Selon ce cadre, la gestion du risque s'entend des pratiques et des procédures qu'utilise une organisation pour gérer les risques auxquels elle est exposée. Le risque est défini comme étant l'incertitude qui entoure des événements et des résultats futurs. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influencer l'atteinte des objectifs de l'organisation.

1.9 Les ministères, tout comme de nombreuses autres organisations, en sont aux premières étapes de l'adoption de pratiques de gestion intégrée du risque. Certains ministères ont pris les premières mesures à cette fin, mais il reste encore beaucoup à faire.

1.10 La gestion intégrée du risque a un rôle à jouer pour rehausser l'efficacité de la fonction publique. Elle contribue à améliorer la gestion et l'exécution des programmes, et à optimiser l'utilisation des ressources. En outre, elle aide les ministères à prendre des décisions plus éclairées dans la gestion des risques environnementaux, stratégiques, opérationnels, politiques et financiers qu'ils contrôlent, et elle devrait leur donner de meilleurs moyens d'intervenir face aux risques qu'ils ne contrôlent pas.

1.11 En règle générale, nous avons constaté qu'il n'y a pas d'effort concerté au sein des ministères pour coordonner et transmettre l'information essentielle sur l'initiative. Nous avons également relevé peu d'indices attestant que les ministères avaient fait beaucoup de progrès dans l'évaluation de leur capacité de gestion intégrée du risque.

1.12 Nous avons constaté que les ministères avaient fait peu ou n'avaient rien fait pour jeter les bases des activités de suivi et d'évaluation dans le cadre de l'initiative.

Réaction du Secrétariat du Conseil du Trésor. Le Secrétariat a indiqué les mesures qu'il compte prendre ou qu'il a déjà entreprises pour mettre en oeuvre les recommandations. Il présente une réponse détaillée qui fait suite à chaque recommandation du chapitre.

Introduction

1.13 On entend par « gestion du risque » les pratiques et les procédures qu'utilise une organisation pour gérer les risques. Le risque se rapporte à l'incertitude qui entoure des événements et des résultats futurs. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influencer l'atteinte des objectifs de l'organisation.

1.14 Les capacités de gestion du risque varient beaucoup. Il y a, à une extrémité, les organisations qui se contentent de la gestion de crise pour s'occuper des risques auxquels elles sont exposées et qui, donc, réagissent aux événements après coup. À l'autre extrémité, il y a les organisations qui ont de solides pratiques de gestion et qui intègrent la gestion du risque à la fois dans leurs activités courantes de gestion et dans l'établissement de leur orientation stratégique. Cette échelle progressive de la gestion du risque est illustrée à la pièce 1.1.

1.15 À titre d'exemple, la manière dont un ministère a réagi au problème du passage à l'année 2000 pour les systèmes informatiques peut indiquer les diverses réactions possibles à la gestion du risque illustrées à la pièce 1.1. Le ministère qui aurait attendu de voir si un système cesserait de fonctionner à l'arrivée du nouveau millénaire aurait fait de la gestion de crise, puisqu'il aurait réagi à un événement après coup. Le ministère qui aurait géré des risques précis aurait évalué chacun des systèmes et y aurait apporté les modifications nécessaires. Le ministère qui fait une gestion intégrée du risque aurait non seulement apporté les modifications voulues pour faire face au problème du passage à l'année 2000, mais aurait également saisi l'occasion pour réformer ses processus opérationnels et pour renforcer sa capacité de respecter ses objectifs stratégiques dans le nouveau millénaire.

1.16 La gestion intégrée du risque permet d'étendre les pratiques de gestion du risque à l'ensemble des structures et des mécanismes de l'organisation, de même qu'à sa culture. Il s'agit d'un moyen d'intégrer et de faire correspondre la gestion du risque à la planification opérationnelle, à l'établissement des objectifs, à la prise de décision et à d'autres activités de gestion de l'organisation. La gestion intégrée du risque tient compte des risques environnementaux, stratégiques, opérationnels et financiers dans l'ensemble de l'organisation, ainsi que de l'évaluation que fait la direction des conséquences, des dangers et des incertitudes connexes sur les objectifs des principales parties intéressées.

1.17 Dans le régime de gouvernement en place au Canada, chaque ministre est responsable de ce qui est fait dans et par son ministère. Ainsi, les décisions prises à l'égard de presque chaque sujet d'importance dans les ministères et dans les divers organismes qui relèvent d'un ministre mettent celui-ci en cause directement ou indirectement. C'est dans ce contexte démocratique élargi que les administrateurs publics prennent des décisions, gèrent les programmes, et recensent et gèrent les risques qui ont un effet sur la réalisation des objectifs stratégiques du ministère.

La gestion du risque est un élément essentiel de la fonction moderne de contrôleur

1.18 L'initiative de modernisation de la fonction de contrôleur du gouvernement fédéral a commencé en 1997, avec l'établissement d'un groupe de travail indépendant ayant pour mandat d'examiner la fonction de contrôleur dans les organismes centraux du gouvernement et dans les ministères d'exécution.

1.19 En 1997, le groupe de travail a publié son Rapport sur la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada. Les auteurs faisaient observer que la fonction moderne de contrôleur (ou fonction de contrôleur moderne) est une réforme axée sur la gestion judicieuse des ressources et sur l'efficacité de la prise de décision. Dans le cadre de cette fonction, les gestionnaires et les spécialistes des finances coordonnent les activités d'établissement des priorités et de planification, ainsi que les efforts visant à atteindre les buts opérationnels et à obtenir les résultats désirés. Il s'agit de réunir en un ensemble cohérent l'information en provenance de nombreuses sources et de transmettre cette information à ceux qui en ont besoin. La fonction moderne de contrôleur exige la participation non seulement des agents des finances dans les ministères, mais aussi de tous les gestionnaires, et elle va au-delà de l'obligation de rendre compte en matière de finances.

1.20 Dans son rapport, le groupe de travail a défini les quatre principaux éléments de la modernisation de la fonction de contrôleur :

• L'information intégrée sur le rendement (financière et non financière, historique et prospective);
• Une approche saine en matière de gestion des risques;
• Des systèmes de contrôle adéquats;
• Des pratiques et des valeurs d'éthique qui vont au-delà du simple respect des lois.

1.21 La pièce 1.2 présente une partie des principaux jalons qui ont marqué l'élaboration et la mise en oeuvre de la gestion intégrée du risque au gouvernement fédéral.

La gestion intégrée du risque est essentielle à l'efficacité de la fonction publique

1.22 La fonction moderne de contrôleur vise essentiellement à aider les ministères et les organismes à gérer d'une manière plus efficace, la gestion du risque en étant l'une des quatre principales composantes. La gestion intégrée du risque représente une approche qui contribue grandement à une meilleure gestion de la fonction publique puisque le risque fait l'objet d'une approche systématique.

1.23 La capacité de gestion du risque est l'une des caractéristiques d'une fonction publique efficace. Le ministère qui gère le risque peut avoir une meilleure certitude que ses programmes et ses activités atteindront leurs objectifs. Dans la mesure où la gestion intégrée du risque contribue à améliorer la gestion et l'exécution des programmes et à optimiser l'utilisation des ressources, elle est manifestement utile pour renforcer l'efficacité de la fonction publique.

1.24 La gestion intégrée ou globale du risque devrait aider les ministères à prendre des décisions plus éclairées pour la gestion des risques environnementaux, stratégiques, opérationnels, politiques et financiers qu'ils peuvent maîtriser et leur permettre d'être en meilleure posture pour faire face aux risques qui échappent à leur contrôle. La gestion intégrée du risque procure également aux ministères un cadre qui peut leur servir à faire état, dans leurs rapports sur les plans et les priorités, des principaux risques qui se posent à eux dans l'exécution de leurs programmes destinés aux Canadiens. Ce cadre peut également leur servir à rendre compte, dans leurs rapports ministériels sur le rendement, de la manière dont ils ont géré ces risques.

1.25 La gestion intégrée du risque exige la mise en place d'activités de gestion du risque et de contrôle dans l'ensemble d'une organisation; les deux sont inextricablement liés. Le contrôle comprend les mesures de gestion nécessaires pour que le risque soit géré ou réduit à un niveau acceptable, tout en favorisant les objectifs de l'organisation.

Le Cadre de gestion intégrée du risque

1.26 Le Cadre de gestion intégrée du risque, publié par le Secrétariat du Conseil du Trésor en avril 2001, donne aux ministères des directives sur la mise en oeuvre d'une approche systématique de la gestion du risque, tant à l'échelle du ministère que, en fin de compte, de l'ensemble du gouvernement. Ce cadre comprend quatre composantes interreliées, soit les activités suivantes : élaborer le profil de risque du ministère; établir une fonction de gestion du risque; mettre en pratique la gestion intégrée du risque; et s'assurer de la continuité de cette gestion du risque.

1.27 La mise en oeuvre des principes énoncés dans le document favorise la constitution d'un effectif « soucieux du risque » et la création d'un milieu de travail favorisant l'innovation et la « prise de risque responsable ». Les mêmes principes visent à ce que les ministères prennent les précautions nécessaires pour protéger l'intérêt public, maintenir la confiance du public et exercer une diligence raisonnable. Le document propose un ensemble de pratiques de gestion du risque que les ministères peuvent adopter ou adapter à leur propre situation et mandat.

1.28 On trouve à la pièce 1.3 un résumé des rôles et des responsabilités conformes au Cadre de gestion intégrée du risque.

Objet de la vérification

1.29 La présente vérification est la suite de notre examen des progrès réalisés par le gouvernement vers la mise en place d'une fonction moderne de contrôleur. Dans notre rapport d'octobre 2000, au chapitre 13, nous avions évalué les capacités de gestion financière de cinq ministères. Dans notre rapport d'avril 2002, au chapitre 7, nous avions voulu savoir si les stratégies et les plans que sept ministères avaient élaborés pour atteindre les objectifs de l'initiative de modernisation de la fonction de contrôleur étaient satisfaisants. En 1999 et 2001, nous avons présenté un rapport sur la mise en oeuvre de la Stratégie d'information financière du gouvernement.

1.30 L'objectif de la présente vérification était de déterminer si les efforts des ministères pour mettre en place le Cadre de gestion intégrée du risque élaboré par le Secrétariat du Conseil du Trésor ont été suffisants. Nous avons voulu savoir également quelles améliorations les ministères doivent apporter à leurs stratégies pour accroître la probabilité de mettre en oeuvre avec succès la gestion intégrée du risque.

1.31 Nous avons examiné les rôles respectifs de la vérification interne et du Secrétariat du Conseil du Trésor dans la promotion de bonnes pratiques de gestion intégrée du risque dans les ministères.

1.32 Six ministères ont été inclus dans cette vérification :

• Patrimoine canadien;
• Développement des ressources humaines Canada;
• Affaires indiennes et du Nord Canada;
• Secrétariat du Conseil du Trésor;
• Transports Canada;
• Anciens Combattants Canada.

1.33 Nous avons examiné le rôle du Secrétariat du Conseil du Trésor relativement à la définition de l'orientation stratégique générale pour la mise en oeuvre du Cadre de gestion intégrée du risque, et nous avons examiné la nature et l'étendue des indications et des conseils qu'il a transmis aux ministères. Enfin, nous nous sommes demandé comment le Secrétariat fait le suivi des progrès des ministères dans l'adoption et l'adaptation du Cadre de gestion intégrée du risque. On trouvera plus d'information à la fin du présent chapitre à la rubrique « À propos de la vérification ».

1.34 Pour l'élaboration du présent chapitre, nous avons aussi recensé les pratiques exemplaires au gouvernement fédéral, dans des organismes publics d'autres administrations, et dans des organismes du secteur privé. Un résumé des meilleures pratiques est fourni dans les pièces du présent chapitre.

Observations et recommandations

Facteurs communs favorisant le succès de la gestion intégrée du risque

1.35 Dans notre examen des bonnes pratiques et des enseignements provenant d'organismes à l'extérieur du gouvernement fédéral, nous avons relevé un certain nombre de facteurs qui contribuent au succès de la mise en oeuvre de la gestion intégrée du risque :

• L'appui de la haute direction. La haute direction doit appuyer entièrement l'élaboration et la mise en oeuvre d'un cadre de gestion intégrée du risque. Les cadres supérieurs doivent s'entendre sur le cadre de gestion du risque, sur la valeur de la gestion du risque et sur leur rôle respectif. Pour manifester leur appui, ils doivent y consacrer des ressources et transmettre les messages nécessaires dans toute l'organisation.
• Une stratégie et un cadre communs. Les organisations doivent élaborer une stratégie et un cadre de gestion intégrée du risque dans tous leurs services et pour tous leurs processus comme point de départ pour l'élaboration d'un langage commun sur le risque, pour la cohérence des décisions dans la gestion du risque et pour le choix des risques à prendre. Les organisations qui ne consacrent pas assez d'efforts à l'élaboration d'un cadre sont susceptibles de n'aboutir qu'à une solution parcellaire : chaque service élabore sa propre solution tant pour la mise en oeuvre du cadre de gestion du risque que pour les façons de réagir au risque.
• Des responsabilités clairement attribuées pour la mise en oeuvre de la gestion intégrée du risque. Les organisations qui n'attribuent pas clairement les responsabilités en matière de gestion intégrée du risque retirent peu d'avantages de cet outil précieux et font peu de progrès dans sa mise en oeuvre. Une organisation peut consacrer beaucoup d'efforts à l'élaboration d'un cadre de gestion intégrée du risque, mais si elle n'attribue pas clairement les responsabilités, elle n'arrive pas à élaborer les plans et les changements nécessaires pour réussir. La direction doit désigner un responsable, qui est chargé de diriger les changements nécessaires pour la mise en oeuvre du cadre. Cette personne doit avoir le pouvoir nécessaire pour apporter les changements et établir des mécanismes (comme un comité directeur et des modalités de rapport) afin de mettre en place la gestion intégrée du risque dans l'ensemble de l'organisation.
• Une approche continue. La gestion intégrée du risque n'est pas une activité ponctuelle. Elle exige l'établissement d'un cadre et d'un processus pour recenser et gérer constamment les risques. Il est donc crucial d'adopter un processus de mise à jour périodique des évaluations du risque et des stratégies d'atténuation des risques.

Lors de notre examen des efforts déployés par les ministères pour développer leur capacité de gestion intégrée du risque, nous avons tenu compte de ces facteurs. Nous avons inclus des exemples plus détaillés de ces meilleures pratiques dans les pièces du présent chapitre.

Efforts des ministères pour acquérir une capacité

1.36 Les ministères, tout comme de nombreuses organisations, commencent à peine à se doter de capacités de gestion intégrée du risque. La pièce 1.4 montre comment les répondants à une enquête récente de la Fondation de recherche de l'Institut des vérificateurs internes ont évalué l'avancement de l'initiative de gestion du risque d'entreprise dans leur organisation respective. Selon l'enquête, seulement 11 p. 100 des organisations ont indiqué avoir en place un système complet de gestion globale du risque (ou de gestion intégrée du risque); la majorité des organisations en sont à diverses étapes de la mise en oeuvre d'un tel système. Dans la mise en oeuvre de la gestion du risque, les progrès des ministères que nous avons observés au cours de notre vérification s'apparentent aux résultats qui se dégagent de cette enquête.

1.37 Voici les dimensions des efforts ministériels pour la mise en oeuvre du Cadre de gestion intégrée du risque du Secrétariat du Conseil du Trésor que nous avons évaluées :

• la détermination et le leadership de la haute direction;
• les plans d'action pour mettre en oeuvre la gestion intégrée du risque;
• l'établissement de profils ministériels de risque;
• les efforts d'acquisition d'une capacité de gestion intégrée du risque;
• les mécanismes de suivi et d'évaluation.

La haute direction doit manifester davantage sa détermination et son leadership

1.38 La haute direction doit manifester de façon claire, visible et active sa détermination et son leadership pour établir une gestion intégrée du risque dans l'ensemble d'un ministère. Pour réussir, il faut d'abord que la haute direction en fasse son propre projet et considère la gestion intégrée du risque comme une priorité stratégique du ministère. Comme le risque n'est pas confiné habituellement à un seul ou à quelques programmes ou activités du ministère, la perspective stratégique et globale de la haute direction est indispensable. Le cadre supérieur qui est responsable de la gestion intégrée du risque doit être bien au fait de la culture du ministère et de son orientation stratégique. La participation de chacun des services et l'intégration des mécanismes opérationnels dans tout le ministère sont également essentielles pour l'élaboration d'un langage commun et d'une approche intégrée de la gestion du risque.

1.39 En outre, seul un cadre supérieur doit avoir le pouvoir d'offrir aux gestionnaires et aux employés des avantages s'ils acceptent et appliquent les principes de la gestion intégrée du risque dans leurs activités courantes et s'ils adoptent une attitude « soucieuse du risque ».

1.40 Nous avions escompté, puisque l'initiative en est à ses débuts, que la haute direction dans les ministères aurait commencé à faire connaître aux gestionnaires et aux employés les grands principes de la gestion intégrée du risque, et à décrire ses possibilités pour l'amélioration de la gestion du ministère.

1.41 Dans cinq des six ministères que nous avons vérifiés, c'est à un sous-ministre adjoint (SMA) qu'a été confiée la responsabilité de veiller à la mise en oeuvre de la gestion intégrée du risque. Dans le sixième ministère, c'est le sous-ministre associé qui a été chargé de diriger l'initiative.

1.42 Dans un ministère, Développement des ressources humaines Canada (DRHC), la haute direction a commencé à sensibiliser les employés à l'initiative dans toute l'organisation. Au départ, DRHC a demandé à tous les SMA de recenser et d'examiner les risques opérationnels dans leur secteur de responsabilité. Il a également attribué à tous les SMA la responsabilité et le pouvoir d'inclure l'initiative de gestion intégrée du risque dans leurs activités et programmes respectifs.

1.43 Anciens Combattants Canada a également fait des progrès intéressants. Par exemple, le Ministère a adopté un Cadre de gestion intégrée du risque et a pris un certain nombre de mesures pour le mettre en place au niveau opérationnel.

1.44 Nous avons également constaté que les SMA dans trois ministères n'ont pas démontré de façon manifeste qu'ils sont les responsables de la gestion intégrée du risque; ils n'ont joué qu'un rôle limité pour l'avancement de l'initiative. Par exemple, à Transports Canada, il y a eu peu de travail de suivi sur la gestion intégrée du risque, en raison surtout d'autres priorités du Ministère.

1.45 Il faut absolument un appui et une acceptation généralisés pour mettre en oeuvre avec succès des initiatives qui exigent des changements, comme la gestion intégrée du risque. Compte tenu des pratiques exemplaires et de l'expérience de gestion intégrée du risque tant dans le secteur public que dans le secteur privé, il est crucial que la haute direction favorise cet appui et cette acceptation dans l'ensemble de l'organisation, sans quoi l'initiative pourrait ne pas s'enraciner et rester essentiellement théorique.

1.46 À la pièce 1.5, on fait mention de certaines des pratiques exemplaires de gestion intégrée du risque qui illustrent la détermination et le leadership de la haute direction.

1.47 Si la haute direction n'encourage pas la mise en place de la gestion intégrée du risque, elle se prive de la possibilité qu'une telle initiative contribue à rehausser l'efficacité des pratiques de gestion.

1.48 Recommandation. La haute direction de chaque ministère et organisme public devrait manifester de façon visible, active et constante sa détermination et son leadership pour assurer la mise en oeuvre réussie de la gestion intégrée du risque. Cela devrait inclure les mesures suivantes : attribuer les ressources nécessaires, surveiller les progrès de la mise en oeuvre par rapport à un plan défini, et exiger une information fondée sur les risques pour prendre de meilleures décisions stratégiques.

Réponse du Secrétariat du Conseil du Trésor. Le Cadre de gestion intégrée du risque du gouvernement reconnaît qu'une détermination et un leadership clairs et visibles de la part de la haute direction sont essentiels à l'établissement d'une base pour favoriser la mise en oeuvre réussie de la gestion intégrée du risque. Le Secrétariat continuera d'inciter les ministères et organismes à désigner, parmi leurs cadres supérieurs, un responsable de la gestion du risque occupant un poste stratégique dans l'organisation et qui dirigera la mise en oeuvre d'une approche intégrée de gestion du risque dans leurs organisations respectives.

Les ministères doivent avoir des plans d'action bien élaborés pour intégrer la gestion du risque dans leurs activités

1.49 On considère la gestion du risque comme un élément fondamental de la fonction moderne de contrôleur. Pour établir cette fonction, il est important notamment de transformer les exigences du Cadre de gestion intégrée du risque en plan d'action, de façon à exprimer les buts finals et les éléments de mesure qui serviront à montrer que les buts ont été atteints.

1.50 Un ministère doit avoir un plan d'action pour mettre en oeuvre la gestion intégrée du risque de façon à ce que la haute direction sache comment le ministère entend procéder : qui est chargé de faire quoi, l'ordonnancement et le calendrier des activités principales, la nature et l'étendue des ressources nécessaires, et le lien entre ces activités et les autres initiatives et priorités de la direction. Le plan d'action devrait également décrire les résultats escomptés, le type de personnes dont on a besoin pour y arriver, et les coûts. Il doit décrire les éléments de base nécessaires au suivi des progrès réalisés et à l'exécution des changements requis pour atténuer les problèmes ou les risques à mesure qu'ils se présentent.

1.51 Il faut absolument avoir un plan d'action solide et soigneusement préparé pour gérer une initiative importante et réduire le risque qui y est associé. Un plan d'action augmente la probabilité que l'initiative réussisse, et ce, à un coût raisonnable. Un plan d'action détermine clairement qui est chargé de l'initiative, sert de fondement pour déterminer si des ressources suffisantes y ont été affectées et établit un point de référence pour faire le suivi des progrès et en faire rapport.

1.52 Dans le cadre de son travail de modernisation de la fonction de contrôleur, le Secrétariat du Conseil du Trésor a transmis aux ministères des directives préliminaires sur l'élaboration de leur plan d'action visant la gestion intégrée du risque. Selon ces directives, les ministères devraient inclure dans leur plan des points tels que les résultats escomptés, les activités nécessaires à la réalisation des résultats escomptés, l'attribution des responsabilités, un calendrier précis et des rapports sur l'état d'avancement des mesures réalisées par rapport aux résultats escomptés.

1.53 Aucun des six ministères que nous avons vérifiés n'a de plan d'action qui respecte tous les critères énoncés dans les lignes directrices du Secrétariat. Seulement deux d'entre eux (Secrétariat du Conseil du Trésor et Anciens Combattants Canada) ont un certain plan d'action, mais il y manque des renseignements importants, comme le nom des personnes chargées d'exécuter des tâches déterminées et le calendrier de réalisation. Il faut signaler aussi que ces deux plans ne précisent aucunement les ressources (personnel et budget) nécessaires pour mettre en place la gestion intégrée du risque. Des six ministères que nous avons vérifiés, c'est Anciens Combattants Canada qui a le plan d'action le plus complet puisqu'il comprend quelque 30 projets assortis d'une date de réalisation définie. On y trouve également les résultats escomptés et les indicateurs de rendement.

1.54 La pièce 1.6 illustre certaines des pratiques exemplaires que nous avons relevées dans l'élaboration des plans d'action visant la gestion intégrée du risque.

1.55 Comme le plan d'action est une première étape cruciale dans la concrétisation de la gestion intégrée du risque, nous nous inquiétons du fait que les ministères visés par notre vérification n'ont pas élaboré un tel plan, ou qu'ils ont un plan incomplet, limité à certaines activités seulement.

1.56 Recommandation. Le sous-ministre associé ou adjoint chargé de la mise en oeuvre de la gestion intégrée du risque dans chaque ministère devrait faire en sorte qu'un plan d'action soit élaboré et que ce plan énonce, à l'intention de la haute direction, comment le ministère entend mettre en oeuvre l'initiative. Comme le préconisent les directives du Secrétariat du Conseil du Trésor, le plan devrait présenter les activités selon un ordre de priorité, attribuer les responsabilités et les pouvoirs, décrire les niveaux et les types de ressource nécessaires, fixer un calendrier pour la mise en oeuvre de la gestion intégrée du risque dans l'ensemble du ministère, et enfin préciser comment elle s'imbrique avec d'autres initiatives d'amélioration au ministère.

Réponse du Secrétariat du Conseil du Trésor. Le Secrétariat convient que l'élaboration de plans d'action définissant la stratégie et les plans de travail ministériels constitue une étape importante pour la mise en oeuvre réussie de la gestion intégrée du risque. Le Secrétariat a formulé des directives visant l'élaboration de plans d'action sur la gestion intégrée du risque dans le contexte de la fonction de contrôleur moderne. Ces consignes complètent les directives communiquées antérieurement aux ministères pour qu'ils dressent des plans d'action touchant la fonction de contrôleur moderne. Le Secrétariat incite les ministères et organismes à intégrer leur plan d'action visant la fonction de contrôleur moderne à leur programme d'amélioration de la gestion.

Les ministères ont fait des progrès dans l'élaboration de leur profil ministériel de risque

1.57 L'établissement d'un profil ministériel de risque, qui est un élément essentiel permanent de la gestion du risque dans tous les ministères, exige ce qui suit :

• Recenser, de manière structurée et explicite, les risques associés à la réalisation des objectifs à tous les niveaux et dans toutes les activités du ministère;
• Déterminer les conséquences possibles pour le ministère si un événement ou une situation quelconque ne devait pas se réaliser comme il a été prévu;
• Déterminer comment le ministère réagira aux risques recensés : les accepter, les gérer, ou ne pas en tenir compte;
• Déterminer jusqu'où le ministère peut accepter des risques — sa tolérance au risque — compte tenu de ce qu'il tente de réaliser;
• Voir à ce que tous les gestionnaires et les employés du ministère sachent quel est son seuil global de tolérance au risque de manière à agir en conséquence.

1.58 Ensemble, ces éléments de l'établissement du profil ministériel de risque sont la base et le fondement de la gestion intégrée du risque. Ils représentent les étapes systématiques vers une gestion « soucieuse du risque ».

1.59 Voici les avantages de l'établissement de seuils de tolérance au risque :

• Cohérence dans l'ensemble du ministère. Si un ministère n'établit pas de façon structurée ses seuils de tolérance au risque, les employés en improviseront et ils seront rarement cohérents. Dans ce cas, les employés pourraient être incités à établir ou à définir leurs propres seuils et chacun attribuerait les ressources de façon différente.
• Cohérence de la réaction de la direction. Si tous ont la même perception de la tolérance au risque, les gestionnaires peuvent s'appuyer sur des bases beaucoup plus solides pour déterminer comment intervenir face au risque. Ils peuvent choisir de réagir de façon à atteindre les résultats escomptés avec le moins de ressources possible.
• Affectation des ressources en fonction de la tolérance au risque. Pour réagir dans les cas où les conséquences éventuelles des risques excèdent les seuils de tolérance au risque du ministère, les ressources peuvent être réaffectées dans des secteurs où la direction doit prendre d'autres mesures pour réduire les conséquences éventuelles à un niveau qui corresponde à ses seuils de tolérance.

1.60 Les six ministères de notre vérification ont adopté une approche différente pour l'établissement de leur profil ministériel de risque. Les six nous ont dit qu'ils tenaient compte du risque de façon officieuse, au cas par cas, bien avant que le Secrétariat ne publie son Cadre de gestion intégrée du risque. Nous avons remarqué, au moment de notre vérification, qu'aucun n'avait de profil de risque ministériel complet.

1.61 Néanmoins, certains ministères ont commencé à établir des profils de risque. À l'exception du fait qu'il n'a pas indiqué explicitement ses seuils de tolérance, DRHC a pris en compte la plupart des éléments de l'établissement du profil de risque. Anciens Combattants Canada a inclus l'établissement du profil de risque dans son cadre de gestion du risque et a rédigé la version préliminaire d'un document portant sur la tolérance au risque. Trois autres ministères sont en voie soit d'élaborer, soit de rédiger des documents sur le profil de risque. Il y en a un, soit Transports Canada, qui n'a pas établi de profil de risque explicite; toutefois, il gère effectivement le risque dans divers secteurs opérationnels, et l'établissement de profils est implicite dans cette activité.

1.62 La pièce 1.7 décrit certaines des pratiques exemplaires que nous avons relevées dans l'établissement du profil de risque.

1.63 Les gestionnaires de programme qui ne comprennent pas bien les limites acceptables du risque dans leur ministère évitent parfois de prendre quelque risque que ce soit. Préférer éviter le risque, c'est peut-être mettre un frein à l'innovation et à la créativité, et encourager le statu quo. D'autres gestionnaires, dans le même ministère, peuvent avoir davantage le goût du risque et adopter ainsi divers comportements risqués. Si l'on prend trop de risques, on peut se mettre dans l'embarras aux yeux de la population ou s'exposer à une perte ou à une obligation financière.

1.64 Pour faire une bonne gestion intégrée du risque, un ministère doit prendre, en matière de risque, des décisions qui se situent dans les limites de son « goût du risque » ou de son seuil global de tolérance. À notre avis, il est urgent que les ministères établissent leur profil de risque ministériel et déterminent leurs seuils acceptables de risque. S'ils établissent leur profil de risque ministériel dans les plus brefs délais et s'ils le révisent continuellement pour qu'il corresponde constamment à leurs objectifs, les ministères pourront réaliser de meilleurs progrès vers la gestion intégrée du risque.

1.65 Recommandation. La haute direction des ministères et des organismes devrait veiller à ce que soit établi un profil de risque ministériel qui recense et évalue les principaux risques et les défis organisationnels, ainsi que le seuil de risque acceptable. Le profil de risque ministériel doit servir à faire connaître aux gestionnaires et aux employés les risques et les seuils de tolérance, afin qu'ils comprennent dans quelles limites ils sont censés gérer le risque.

Réponse du Secrétariat du Conseil du Trésor. Le profil de risque ministériel est une des quatre composantes connexes du Cadre de gestion intégrée du risque du gouvernement et constitue une composante essentielle de la mise en oeuvre de la gestion intégrée du risque au sein de l'organisation. Le profil de risque ministériel devrait fournir aux ministères et organismes une bonne compréhension de l'environnement dans lequel le ministère fonctionne, notamment en ce qui concerne l'indication des risques clés auxquels il est confronté et la connaissance du seuil de tolérance au risque des intervenants clés. Le Secrétariat incite les ministères et organismes à axer leurs efforts sur l'établissement d'un profil de risque ministériel, cela étant l'une des premières étapes de la mise en oeuvre de la gestion intégrée du risque.

L'acquisition de capacités dans les ministères

1.66 On entend par « acquisition de capacités » l'exploitation des personnes, des compétences, des outils et des mécanismes nécessaires pour que les ministères puissent constamment améliorer leur mode de fonctionnement. Dans quelque ministère que ce soit, l'acquisition de la capacité d'améliorer et d'innover repose essentiellement sur les trois étapes suivantes :

• Élaborer une stratégie de communication pour faire connaître aux employés tout changement apporté et le motif pour lequel la direction agit ainsi;
• Faire l'inventaire des capacités actuelles — personnes, compétences et connaissances — pour gérer le changement;
• Se donner ou acquérir les compétences, les systèmes et les mécanismes dont le ministère a besoin pour que le changement réussisse.

1.67 Stratégie de communication. Pour réussir une initiative exigeant un changement, comme la gestion intégrée du risque, la haute direction doit absolument élaborer une stratégie de communication bien ciblée. Elle doit transmettre des messages bien pensés pour sensibiliser l'ensemble du ministère à l'initiative de gestion intégrée du risque, pour bien la faire comprendre et la faire accepter. Il faut montrer aux gestionnaires et aux employés comment la gestion intégrée du risque peut leur être utile dans leur travail courant. Il faut aussi leur expliquer leur rôle dans la mise en oeuvre de la gestion intégrée du risque ainsi que les liens entre celle-ci et les autres initiatives telles que la fonction moderne de contrôleur. La stratégie de communication doit bien montrer la détermination de la direction pour ce qui est de la réussite de cette initiative.

1.68 Quatre des six ministères que nous avons vérifiés ont organisé des séances de sensibilisation destinées surtout à l'ensemble des gestionnaires. Le cinquième a organisé un programme de sensibilisation à l'intention de la haute direction. Le sixième n'a établi aucun programme pour expliquer aux employés la gestion intégrée du risque et les encourager à l'accepter comme une initiative positive.

1.69 En règle générale, nous avons constaté qu'il n'y a pas d'efforts concertés au sein des ministères pour coordonner et communiquer l'information importante sur la gestion intégrée du risque. Affaires indiennes et du Nord Canada a un projet de plan de communication, mais il n'a pas encore prévu de budget pour sa mise en oeuvre.

1.70 Nous avons constaté que le Secrétariat du Conseil du Trésor a organisé des séances de formation et de sensibilisation pour le personnel. Il a élaboré d'autres outils de formation, comme un projet de guide à l'intention des gestionnaires et une trousse d'outils liés au Cadre de gestion intégrée du risque. Anciens Combattants Canada a tenu des séances pour la plupart des gestionnaires. Depuis qu'il a fait l'objet, en septembre 2000, d'une vérification de sa capacité relative à la fonction moderne de contrôleur, ce ministère considère la gestion intégrée du risque comme une priorité. Affaires indiennes et du Nord Canada a mis sur pied, au printemps de 2002, un atelier sur la gestion du risque en vue de former des instructeurs susceptibles d'assurer une formation en la matière dans l'ensemble du Ministère.

1.71 Faire l'inventaire de la capacité actuelle. La deuxième étape de l'acquisition de capacités consiste à faire une autoévaluation. Il s'agit d'un moyen pour la haute direction de recenser les lacunes que le ministère devra combler dans les compétences et les connaissances pour mettre en place la gestion intégrée du risque. Le ministère doit examiner en profondeur ses systèmes et ses pratiques pour déterminer dans quels domaines des changements doivent être apportés.

1.72 Dès que le ministère sait quelles lacunes il doit combler pour se donner la capacité nécessaire, il peut passer à la troisième étape : acquérir les compétences et les connaissances qui lui manquent afin de pouvoir apporter les changements nécessaires dans ses systèmes et ses processus. Cela peut signifier offrir une formation structurée ou en milieu de travail, recruter de nouveaux employés, créer des occasions d'apprentissage et de mise en commun des pratiques exemplaires, et établir des centres d'expertise.

1.73 Dans cinq des six ministères que nous avons examinés, nous avons trouvé peu ou pas d'indication de progrès dans l'évaluation de la capacité de mettre en oeuvre la gestion intégrée du risque. Nous reconnaissons qu'il peut être trop tôt pour que certains ministères aient effectué cette évaluation. Toutefois, DRHC était en voie d'élaborer un outil d'autodiagnostic que les gestionnaires pourraient utiliser pour évaluer leur capacité actuelle de gestion du risque. Cet outil représente un point de départ intéressant.

1.74 Acquisition des compétences nécessaires. Pour l'instant, la plupart des ministères n'ont pas encore franchi l'étape préliminaire qui consiste à évaluer les personnes, la formation, les systèmes et les processus dont ils auront besoin.

1.75 La pièce 1.8 présente certaines des pratiques exemplaires que nous avons relevées relativement à l'acquisition de capacités.

1.76 Recommandation. La haute direction de chacun des ministères et organismes devrait veiller à évaluer sa capacité actuelle de mettre en oeuvre et de maintenir des pratiques de gestion intégrée du risque, et à élaborer les plans et les stratégies d'apprentissage nécessaires pour améliorer et maintenir les compétences nécessaires.

Réponse du Secrétariat du Conseil du Trésor. Le Cadre de gestion intégrée du risque du gouvernement souligne que l'acquisition et le maintien d'une capacité de gestion du risque sont des facteurs de réussite sous-jacents importants pour la mise en oeuvre de la gestion intégrée du risque. Le Secrétariat voit dans le renforcement de la capacité l'une des premières étapes sur laquelle les ministères et organismes abordant la mise en oeuvre de la gestion intégrée du risque devraient se concentrer. Même si la gestion intégrée du risque constitue une nouvelle méthode de gestion des risques organisationnels dans la fonction publique fédérale, les pratiques en cours peuvent être utilisées comme point de départ pour acquérir la capacité de gestion intégrée du risque. Lors de cette vérification, plus de 50 ministères et organismes avaient déjà utilisé l'outil d'évaluation de la capacité quant à la fonction de contrôleur moderne pour mesurer, dans l'ensemble, leur capacité actuelle de mise en oeuvre de la gestion intégrée du risque. Les résultats cumulés de ces évaluations de la capacité fournissent également au Secrétariat de précieux renseignements pour élaborer des outils et formuler des conseils visant à combler les écarts que comporte le système ainsi qu'à développer et à renforcer les compétences requises.

Suivi et évaluation

1.77 Bien que les ministères commencent à peine à mettre en oeuvre l'initiative de gestion intégrée du risque, nous avions escompté qu'ils auraient transmis à la haute direction et au Secrétariat du Conseil du Trésor des renseignements à jour sur leur état d'avancement. Ainsi, la haute direction aurait eu connaissance des problèmes qui se posent et aurait pu apporter des correctifs dans les plus brefs délais.

1.78 En l'absence de plans d'action qui puissent servir de point de départ aux rapports sur les progrès accomplis, la communication d'information est essentiellement non structurée. Au moment de notre vérification, elle consistait principalement en discussions, réunions et exposés qui portaient sur des activités définies relatives à la gestion intégrée du risque. Les ministères étaient incapables de montrer leur état d'avancement relativement à l'intégration et à l'incorporation de la gestion du risque dans leurs activités stratégiques et courantes. Ni le Secrétariat du Conseil du Trésor, ni la haute direction des ministères ne reçoivent l'information nécessaire pour juger des progrès de la gestion intégrée du risque ou pour gérer les nouveaux risques associés à cette initiative, malgré la priorité que le Conseil du Trésor et le Greffier du Conseil privé y ont accordée. Nous avons constaté qu'on ne trouve pas, dans les rapports ministériels sur le rendement portant sur l'initiative de modernisation de la fonction de contrôleur, de renseignements importants sur les progrès de la mise en oeuvre de la gestion intégrée du risque dans les ministères.

1.79 Seulement deux ministères dans notre vérification — DRHC et Anciens Combattants Canada — ont des activités bien définies de suivi et d'évaluation. Celles de DRHC sont essentiellement non structurées, comme la communication d'information à des réunions de comités. Le ministère des Anciens Combattants a intégré le suivi et l'évaluation dans son plan de mise en oeuvre de la gestion intégrée du risque. Nous avons constaté que le Ministère a fait un certain travail préliminaire utile, comme préciser les résultats et les indicateurs de rendement qui pourraient servir dans les vérifications et les évaluations à venir. Les quatre autres ministères n'ont pas pris les mesures nécessaires pour jeter les bases du suivi et de l'évaluation des activités de gestion intégrée du risque.

1.80 La pièce 1.9 décrit certaines des pratiques exemplaires que nous avons relevées pour le suivi et l'évaluation du système de gestion intégrée du risque.

1.81 Recommandation. La haute direction des ministères et des organismes devrait faire en sorte que, une fois les plans d'action élaborés, elle puisse faire le suivi des progrès et prendre les mesures correctives nécessaires. Les ministères doivent faire rapport de leur état d'avancement dans leur rapport ministériel sur le rendement.

Réponse du Secrétariat du Conseil du Trésor. Le Secrétariat convient de l'importance de faire le suivi de l'avancement des plans d'action et de la reddition de comptes. C'est le rapport ministériel sur le rendement qui constitue le principal instrument pour faire rapport au Parlement; les lignes directrices actuelles demandent aux ministères de rendre compte de la fonction de contrôleur moderne dans leurs rapports ministériels sur le rendement.

Le rôle de la vérification interne

La vérification interne doit protéger son indépendance et son objectivité

1.82 La vérification interne a comme rôle principal d'examiner les systèmes et les processus d'une organisation et d'assurer la haute direction, en toute objectivité et indépendance, de leur bon fonctionnement. Pour la gestion du risque, la vérification interne dans un ministère a pour rôle principal d'assurer la haute direction que le ministère a recensé ses risques principaux. En outre, elle formule une opinion à savoir si le ministère dispose, ou non, des contrôles, des pratiques et des procédures nécessaires à la fois pour réduire le risque qu'un événement préjudiciable se produise et pour en réduire les conséquences s'il se produit.

1.83 La vérification interne peut également jouer un rôle consultatif, par exemple, donner son avis sur la conception du cadre de contrôle dans un ministère, ou sur l'intégralité et la pertinence des évaluations de risques par la direction. Dans ce cas, toutefois, les vérificateurs internes doivent prendre bien soin de ne pas compromettre leur indépendance et leur objectivité.

1.84 Nous reconnaissons que la vérification interne, par ses services consultatifs, peut contribuer d'une manière importante à l'atteinte des objectifs du ministère en matière de gestion du risque. Toutefois, dans le cas où la vérification interne joue un rôle de chef de file dans la mise en oeuvre de la gestion intégrée du risque, nous aimerions que le ministère explique clairement comment et quand il entend la relever de cette fonction pour la confier à la direction du ministère. En fin de compte, il appartient à la direction de veiller à ce que les risques soient recensés et gérés en fonction des seuils de tolérance établis par le ministère.

Le rôle de la vérification interne varie beaucoup dans les ministères que nous avons vérifiés

1.85 Dans trois des six ministères que nous avons vérifiés (Développement des ressources humaines Canada, Affaires indiennes et du Nord Canada, et Patrimoine canadien), la vérification interne avait la responsabilité principale ou partagée de la mise en oeuvre de la gestion intégrée du risque. À notre avis, la vérification interne ne peut pas jouer un tel rôle sans risquer de compromettre sa capacité d'assurer plus tard la direction, en toute objectivité et indépendance, de l'efficacité des pratiques ministérielles de gestion du risque.

1.86 Dans les ministères où la vérification interne a joué un rôle de premier plan dans l'initiative de gestion intégrée du risque, nous n'avons pas relevé, dans les plans ministériels, de stratégie claire ni de calendrier pour le transfert de la responsabilité de cette activité de la vérification interne à la direction.

1.87 Recommandation. Dans leur rôle de conseillers, les vérificateurs internes des ministères devraient veiller à ne pas compromettre leur indépendance et leur objectivité futures, car il s'agit de facteurs essentiels pour donner une assurance à la haute direction. Dans les ministères où la vérification interne mène l'initiative de gestion intégrée du risque, il devrait y avoir dans les plans ministériels une stratégie claire, assortie d'un calendrier précis, qui prévoie le transfert du rôle de direction de la gestion intégrée du risque à la direction ministérielle.

Réponse du Secrétariat du Conseil du Trésor. Le Secrétariat reconnaît que les vérificateurs internes des ministères doivent conserver leur objectivité et fournir l'assurance et les conseils indépendants requis concernant l'efficacité de la gestion intégrée du risque au sein de leur organisation. Même si, dans de nombreux ministères, la vérification interne appuie la mise en oeuvre de la gestion intégrée du risque, le Secrétariat estime que c'est néanmoins la direction qui demeure responsable de la mise en oeuvre de cette approche et qui doit en rendre compte.

Le rôle du Secrétariat du Conseil du Trésor

1.88 Le Secrétariat du Conseil du Trésor a entrepris un effort concerté pour ajouter la gestion intégrée du risque aux outils servant à une meilleure gestion dans l'ensemble du gouvernement. Il lui incombe manifestement d'aider les ministères à adopter la gestion intégrée du risque dans leurs pratiques courantes de gestion par les moyens suivants :

• soutenir les efforts de mise en oeuvre de la gestion intégrée du risque dans les ministères;
• fournir aux ministères un centre d'expertise (la Direction de la gestion des risques) en tant que ressource pour la gestion intégrée du risque;
• faire le suivi du progrès et des résultats des efforts pour la mise en oeuvre de son Cadre de gestion intégrée du risque, et en faire rapport.

1.89 Le Secrétariat doit veiller également à ce que les risques soient examinés et classés par ordre de priorité à l'échelle de l'administration fédérale afin que les ministres du Conseil du Trésor, les autres organismes centraux et le Parlement disposent d'information et de conseils sur la gestion du risque.

Appuyer les efforts des ministères

1.90 Le Secrétariat a produit des documents initiaux utiles pour guider les ministères dans la mise en oeuvre de la gestion intégrée du risque. Toutefois, il leur faudra plus d'orientation pour incorporer la notion dans leurs pratiques de gestion.

1.91 En 2001, le Secrétariat a publié un document cadre devant servir de plan directeur pour la mise en oeuvre de la gestion intégrée du risque dans l'ensemble du gouvernement. Il s'agissait d'un point de départ pour amener la gestion du risque, qui s'appuyait d'abord sur une approche intuitive, à une démarche plus rigoureuse. Dorénavant, elle tient compte de la perspective ministérielle sur les risques associés à la gestion des programmes et des activités.

1.92 Le Cadre de gestion intégrée du risque définit ce qu'est la gestion intégrée du risque. Il incite les ministères à s'y intéresser davantage. Toutefois, ceux-ci ont généralement besoin d'orientation supplémentaire sur la façon d'exécuter chacune des étapes essentielles. Par exemple, deux des ministères de notre échantillon ont indiqué vouloir des directives pratiques et un appui.

1.93 Recommandation. Le Secrétariat du Conseil du Trésor devrait offrir aux ministères et aux organismes des directives complètes et des outils bien définis pour qu'ils soient en mesure d'acquérir les capacités principales nécessaires à la mise en oeuvre réussie de la gestion intégrée du risque.

Réponse du Secrétariat du Conseil du Trésor. Conscient du fait que la gestion intégrée du risque constitue une nouvelle approche pour gérer les risques ministériels, le Secrétariat a fourni, et continuera de fournir, aux ministères et organismes l'appui, les directives et les outils dont ils ont besoin pour les sensibiliser davantage à la gestion intégrée du risque, la faire comprendre et en favoriser la mise en application. Le Secrétariat est à mettre au point des conseils pratiques à l'intention des ministères relativement à la mise en oeuvre des concepts énoncés dans le Cadre de gestion intégrée du risque. En outre, des mécanismes pour le partage des expériences et des leçons apprises ont déjà été instaurés, tels que l'affichage d'un site Web sur la gestion du risque et la création du Conseil de mise en oeuvre. Comme les ministères ont un rôle essentiel à jouer pour s'approprier la responsabilité de la gestion intégrée du risque, le Secrétariat reconnaît le leadership dont font preuve de nombreux ministères et organismes concernant l'élaboration et le partage d'outils et de conseils visant à établir une approche intégrée de gestion du risque.

Offrir un centre d'expertise et faire le suivi des progrès

1.94 Le Secrétariat a établi la Direction de la gestion des risques en tant que centre de mise en commun et de diffusion de l'information et des pratiques exemplaires. La Direction a participé à l'élaboration de cours d'initiation aux notions de base de la gestion intégrée du risque offerts par le Centre canadien de gestion et par Formation et perfectionnement Canada.

1.95 Comme nous l'avons fait remarquer, une autre des responsabilités de la Direction consiste à faire le suivi des progrès des ministères dans la mise en oeuvre de la gestion intégrée du risque et d'en faire rapport aux ministres du Conseil du Trésor. Au moment de notre vérification, la Direction était en voie de préparer son premier rapport sur les progrès accomplis; un rapport annuel est prévu dans le cadre du travail entrepris par le gouvernement sur la modernisation de la fonction de contrôleur. Dans le chapitre 7 de notre rapport d'avril 2002, « Les stratégies de mise en oeuvre de la fonction de contrôleur moderne », nous avions recommandé que le Secrétariat du Conseil du Trésor informe le Parlement sur les progrès réalisés dans l'ensemble du gouvernement à l'égard de la fonction moderne de contrôleur. Nous nous attendions à ce que cela comporte des renseignements sur la mise en oeuvre de l'initiative de gestion intégrée du risque.

1.96 À mesure que les ministères progressent dans leur initiative de gestion intégrée du risque, la Direction devra élargir l'étendue de son suivi afin de s'assurer que les efforts déployés demeurent dans la bonne voie et d'obtenir l'information appropriée à l'appui du rapport présenté au Parlement sur les progrès dans l'ensemble du gouvernement. La gestion intégrée du risque est un volet essentiel de la fonction moderne de contrôleur et elle devrait progresser selon le même calendrier.

1.97 Les organismes centraux et le Parlement doivent disposer d'un tableau d'ensemble des risques qui touchent le gouvernement. Ce type d'information s'avère nécessaire pour prendre des décisions éclairées, pour répartir les ressources à l'égard d'objectifs gouvernementaux concurrentiels, et pour gérer les risques du point de vue du gouvernement dans son ensemble. Comme l'établit le Cadre de gestion intégrée du risque, le Secrétariat du Conseil du Trésor a la responsabilité de fournir aux organismes centraux de l'information sur les risques qui réponde à leurs besoins. Au moment de notre vérification, le Secrétariat du Conseil du Trésor n'avait pas prévu faire d'évaluation du risque ni établir un profil de risque pour l'ensemble du gouvernement. Il n'avait pas non plus recensé les principales parties intéressées dans l'ensemble du gouvernement.

1.98 Recommandation. Le Secrétariat du Conseil du Trésor devrait veiller à ce que l'information sur les principaux risques soit communiquée aux ministres du Conseil du Trésor, aux autres organismes centraux, aux ministères et au Parlement, pour l'ensemble du gouvernement.

Réponse du Secrétariat du Conseil du Trésor. Le Secrétariat convient qu'il est important de tenir les ministres du Conseil du Trésor, les organismes centraux, les ministères et le Parlement au fait des risques clés. Des mécanismes sont en place pour tenir ces parties, ainsi que le public, au courant des principaux risques et le Secrétariat continuera d'améliorer ces mécanismes.

Conclusion

1.99 L'initiative de la gestion intégrée du risque a été entreprise pour inculquer au personnel le « souci du risque », pour créer un environnement qui favorise l'innovation et la « prise de risque responsable », compte tenu du fait que les ministères doivent prendre des précautions pour protéger l'intérêt public, maintenir la confiance des citoyens et exercer une diligence raisonnable.

1.100 Les ministères fédéraux, tout comme de nombreuses organisations, commencent à peine à mettre en oeuvre la gestion intégrée du risque. Nous avons constaté que, même si les ministères et le Secrétariat du Conseil du Trésor ont pris certaines bonnes mesures initiales, il reste encore beaucoup à faire. Les cadres supérieurs doivent absolument faire preuve d'un fort leadership et d'une détermination soutenue. Chaque ministère devra avoir un plan d'action détaillé afin de guider sa mise en oeuvre de la gestion intégrée du risque, de s'en servir pour mesurer les progrès réalisés et en faire rapport, et de tenir les intéressés responsables de la réussite de l'initiative. Les plans d'action des ministères devraient décrire leur stratégie pour acquérir les compétences nécessaires en matière de gestion intégrée du risque.

1.101 Bien que les ministères aient franchi un certain nombre d'étapes pour élaborer leur profil de risque ministériel, ils doivent aussi définir leur seuil de tolérance, sans quoi il leur sera difficile de bien intégrer la gestion du risque dans leurs activités courantes. Certains gestionnaires pourraient choisir d'éviter le risque entièrement et de lui préférer le statu quo; d'autres pourraient prendre des risques plus grands que ce que la haute direction est disposée à accepter.

1.102 Lorsqu'ils contribuent aux efforts des ministères pour la mise en oeuvre de la gestion intégrée du risque, les vérificateurs internes doivent faire preuve de prudence dans leur rôle de conseillers afin de pas compromettre leur indépendance et leur objectivité. Ils doivent absolument rester indépendants et objectifs pour être en mesure d'assurer la haute direction que les initiatives ministérielles de gestion intégrée du risque sont satisfaisantes et complètes. Lorsque la vérification interne a joué un rôle de premier plan dans le démarrage de l'initiative de gestion intégrée du risque, la stratégie ministérielle doit prévoir des mesures claires pour transférer la responsabilité à la direction du ministère.

1.103 Le Secrétariat du Conseil du Trésor a produit les premiers documents pour aider les ministères à mettre en oeuvre l'initiative. Toutefois, les ministères ont besoin d'orientation supplémentaire pour réaliser chacune des étapes principales en vue d'intégrer la gestion du risque à leur culture de gestion. Le Secrétariat du Conseil du Trésor doit également veiller à ce que l'information sur le risque pour l'ensemble du gouvernement soit regroupée et mise à la disposition des ministres du Conseil du Trésor, des autres organismes centraux, des ministères et du Parlement.

À propos de la vérification

Objectifs

Un objectif de la vérification était de déterminer si les ministères prennent des mesures satisfaisantes pour mettre en oeuvre le Cadre de gestion intégrée du risque du Secrétariat du Conseil du Trésor. Nous voulions aussi déterminer quelles améliorations aux stratégies ministérielles sont nécessaires pour accroître la probabilité que la gestion intégrée du risque soit mise en oeuvre avec succès.

Nous avons examiné le rôle de la vérification interne pour ce qui est d'aider les ministères à mettre en oeuvre la gestion intégrée du risque.

Nous avons également examiné le rôle du Secrétariat du Conseil du Trésor pour ce qui est de l'orientation stratégique globale à donner en vue de la mise en oeuvre du Cadre de gestion intégrée du risque. Nous avons évalué la nature et l'étendue des directives et des conseils que le Secrétariat offre aux ministères et la façon dont il fait le suivi de leurs progrès dans l'adoption et l'adaptation du cadre en fonction de leurs besoins particuliers.

Voici les ministères inclus dans la vérification :

• Patrimoine canadien
• Développement des ressources humaines Canada
• Affaires indiennes et du Nord Canada
• Transports Canada
• Secrétariat du Conseil du Trésor
• Anciens Combattants Canada

L'un des volets importants du travail pour que le présent chapitre repose sur de bonnes bases a été le recensement des pratiques exemplaires utilisées au gouvernement fédéral, dans des organismes d'autres administrations publiques, et dans des organismes du secteur privé.

Étendue et méthode

Voici les critères généraux qui ont été établis pour la vérification :

Secrétariat du Conseil du Trésor

• Les progrès dans les ministères et les organismes doivent faire l'objet d'un suivi à l'échelle du gouvernement. Des interventions stratégiques doivent avoir lieu au besoin pour appuyer les efforts des ministères dans la mise en oeuvre de la gestion intégrée du risque.
• Pour maximiser le rapport coût-efficacité et accélérer les progrès, le Secrétariat du Conseil du Trésor doit coordonner et faciliter les efforts des ministères sur les aspects communs (par exemple, les questions de gouvernance, les stratégies de communication, les questions liées aux ressources humaines comme la formation). Il doit guider les ministères et les organismes dans la mise en oeuvre de la gestion intégrée du risque.
• Le Secrétariat du Conseil du Trésor doit tenir le Parlement au courant des points importants et des progrès réalisés pour inculquer aux fonctionnaires le goût du risque calculé et créer un climat qui le favorise dans l'ensemble de la fonction publique.

Ministères

• Il doit y avoir dans chaque ministère une détermination, ainsi qu'une culture ou un climat qui favorise l'atteinte des buts et des objectifs en matière de gestion intégrée du risque, et qui facilite l'intégration de la gestion du risque dans la structure de gouvernance du ministère. La haute direction doit faire un suivi constant des progrès réalisés pour modifier au besoin la stratégie ministérielle.
• Chaque ministère doit avoir adopté une vision et des objectifs clairs, ainsi qu'un plan structuré pour recenser, évaluer et gérer les risques dans tout le ministère, compte tenu de ses grands objectifs opérationnels. Le plan doit être communiqué à tous les échelons du ministère pour faciliter la bonne gestion des risques dans l'ensemble de l'organisation.
• Les risques qui pourraient faire obstacle au succès de la mise en oeuvre de la gestion intégrée du risque doivent être recensés, évalués et gérés. Les bonnes pratiques et les enseignements tirés doivent être communiqués à l'ensemble de l'organisation pour que les intéressés puissent profiter des possibilités d'apprentissage et de formation en vue de l'acquisition et du renforcement des capacités de gestion du risque.
• Les plans d'intégration de la gestion du risque à l'échelle de l'organisation doivent tenir compte des facteurs d'économie et d'efficience.
• Une information claire, exacte, complète et actuelle sur les progrès doit être communiquée à la haute direction et au Secrétariat du Conseil du Trésor, de sorte qu'elle puisse servir à la prise de décision, à l'adoption de mesures correctives au besoin et à la présentation de l'information sur les progrès réalisés.

Équipe de vérification

Vérificateur général adjoint : Douglas Timmins
Directeur principal : Bruce C. Sloan
Directeurs : Frank Cotroneo, Jean Landry, Gaëtan Poitras, Maria Wisniowski

Manon Arsenault
Brian Brisson
Jeff Christie
Patrick Morton

Pour obtenir de l'information, veuillez joindre le service des Communications, en composant le (613) 995-3708 ou le 1 888 761-5953 (sans frais).