Vérification du cadre ministériel de gestion du risque

Télécharger la version PDF (86 Ko)

Rapport de vérification

Projet # 08/09 01-04

préparé par
la Direction, vérification et évaluation

Septembre 2009

Table des matières

1.0 Sommaire

1.1 Objectif de la vérification

La vérification a consisté à évaluer dans quelle mesure la direction a mis en place un cadre ministériel de gestion du risque qui fait en sorte que les risques émanant de ses opérations sont pris en considération.

1.2 Opinion de vérification

À notre avis, le cadre ministériel de gestion du risque comporte des enjeux de niveau modéré qui exigent une attention particulière de la part de la direction.

1.3 Énoncé d'assurance

En ma qualité de Dirigeante principale de la vérification, je forme le jugement professionnel que des procédures de vérification suffisantes et appropriées ont été suivies et que des éléments probants ont été recueillis pour étayer l'exactitude de l'opinion fournie dans le présent rapport. Cette opinion s'appuie sur une comparaison des conditions telles qu'elles existaient alors, aux critères de vérification préétablis. L'opinion ne s'applique qu'à l'entité examinée. Les éléments probants ont été recueillis en conformité avec la politique, les directives et les normes du Conseil du Trésor en matière de vérification interne. Les éléments de preuve réunis sont suffisants pour convaincre la haute direction du bien-fondé de l'opinion découlant de la vérification interne.

1.4 Résumé des recommandations

La direction, Assurance, sécurité et programme est responsable de diriger et de coordonner la fonction de gestion du risque à l'Agence spatiale canadienne (ASC). Pour assumer adéquatement ses responsabilités, elle doit compter sur la collaboration du personnel de tous les secteurs et niveaux de gestion.

De façon générale, notre vérification a démontré que le cadre ministériel de gestion du risque de l'ASC est conforme aux éléments du Cadre de gestion intégrée du risque (CGIR) du Secrétariat du Conseil du Trésor (SCT).

Par ailleurs, suite à notre examen du cadre ministériel de gestion du risque de l'ASC, nous recommandons de :

  • finaliser, faire approuver et diffuser la politique ministérielle et les procédures pertinentes;
  • apporter les précisions nécessaires afin de distinguer clairement le CGIR ministériel du cadre de gestion de projet lequel comporte un volet de gestion du risque;
  • présenter l'information ayant trait au CGIR ministériel dans une section de l'Intranet qui lui est propre;
  • s'assurer que le rôle de champion de la gestion du risque est assumé par un cadre supérieur (membre du CE) qui a une vision corporative; et
  • s'assurer que la responsabilité de la fonction de gestion du risque est assumée par le titulaire du poste de directeur, Planification et rendement.

Signature de la Dirigeante principale de la vérification

Original signé par Dominique Breden

Membre de l'équipe de vérification

Jimmy Cheung

2.0 Rapport de vérification

2.1 Contexte

Outre les processus de contrôle et de gouvernance, la gestion du risque constitue l'autre composante du cadre de gestion de l'ASC.

La gestion de projets a toujours été au cœur des activités de l'ASC. Le Conseil du Trésor a approuvé en décembre 1999 un cadre de gestion du risque proposé par l'ASC pour s'assurer notamment que les risques qui leurs sont associés sont financés à l'intérieur des niveaux de référence approuvés. Depuis 1999, le cadre de gestion du risque des projets fait partie intégrante du Cadre d'approbation et de gestion de projet (CAGP).

Même si la gestion de projets est au cœur des activités de l'ASC, nous constatons, suite à l'analyse de la mise à jour annuelle des niveaux de référence de 2009-2010, que l'ASC ne consacre qu'environ 33% de son enveloppe budgétaire d'environ 300M$ à des activités de projets et 67% à ses autres activités de programmes et services corporatifs.

En 2001, avec la publication du CGIR, le SCT proposait aux gestionnaires, à l'échelle du gouvernement fédéral, une approche systématique s'appliquant à toute l'organisation visant à adopter des concepts et des pratiques qui contribuent à établir un environnement conscient du risque. Cette approche repose sur l'élaboration d'un profil de risque ministériel, la création d'une fonction de gestion intégrée du risque, la pratique de la gestion intégrée du risque et l'apprentissage continu.

L'ASC a débuté la mise en œuvre d'un CGIR ministériel en mai 2005 afin d'implanter une ligne de pensée de gestion intégrée du risque à l'ensemble de ses opérations.

Aperçu du processus ministériel de gestion du risque

La responsabilité de la fonction ministérielle de gestion du risque, communément appelée « Risques corporatifs », est assumée par le directeur, Assurance, sécurité et programme qui est aussi responsable de l'administration du CAGP.

Le tableau ci-dessous donne un aperçu du processus ministériel et de celui du processus de gestion du risque du CAGP :

 
Principe de gestion du risque CGIR ministériel (Risques corporatifs) CAGP / Gestion du risque
Planification
  • Les secteurs sont appelés à débuter l'analyse des risques qui peuvent nuire à la réalisation de leurs objectifs
  • Le CAGP intègre les principes de gestion du risque
  • Le gestionnaire de projet doit intégrer les résultats de son évaluation des risques dans le document d'approbation de projet (DAP)
Identification
  • Les secteurs sont appelés à communiquer leur analyse de risque
  • Les risques sont documentés et consolidés dans une base de données – Risques corporatifs consolidés
  • Les risques sont classifiés en fonction de leur effet sur :
    • la vision et stratégie
    • les engins spatiaux
    • l'appui des parties prenantes
    • la confiance dans la régie de l'ASC
    • l'intégration et mise en oeuvre
    • la main d'oeuvre compétente
  • Les gestionnaires de projet identifient et documentent les risques dans une base de données – Système d'information et d'évaluation des risquesSIER (RIAS)
  • Les risques sont classifiés en fonction de leur effet sur :
    • le coût
    • l'échéancier
    • la performance / technique
    • la programmation
Évaluation
  • Les risques sont évalués en fonction d'une matrice combinant la probabilité d'occurrence et l'impact
  • Le profil de risque de l'ASC est élaboré
  • Les risques sont évalués en fonction d'une matrice combinant la probabilité d'occurrence et l'impact
Réaction
  • Des mesures de mitigation sont élaborées
  • Un plan d'action est élaboré
  • Des mesures de mitigation sont élaborées
  • Le financement des risques est calculé en fonction des risques quantifiés et pondérés
  • Les fonds de réserve sont maintenus à un niveau permettant de couvrir les risques identifiés et imprévus qui peuvent être réalisés au cours d'un exercice donné
Surveillance et contrôle
  • Des comités de gestion du risque (CGR) sont formés dans chacun des secteurs
  • Le profil de risque et les mesures de mitigation sont approuvés par le Comité exécutif
  • Le plan d'action approuvé est intégré aux plans de travail des secteurs et au Rapport sur les plans et priorités
  • Le gestionnaire de projet exerce un suivi régulier des risques identifiés
  • Des comités de gestion du risque (CGR) sont formés dans chacun des secteurs
  • Les fonds réservés sont désengagés sur approbation du CGR lorsque les risques se matérialiseront
  • Le personnel du CAGP veille à la conformité

2.2 Objectif, portée et approche de la vérification

La vérification avait pour objectif d'évaluer dans quelle mesure la direction a mis en place un cadre ministériel de gestion du risque qui fait en sorte que les risques émanant de ses opérations sont pris en considération.

L'actuel projet de vérification a porté spécifiquement sur le cadre ministériel de la gestion du risque à l'ASC. Par ailleurs, tel qu'identifié au Plan de vérification interne de la direction, Vérification et évaluation, l'élaboration du profil de risque fera l'objet d'un projet de vérification pangouvernemental mené par le Bureau du contrôleur général.

La vérification a comporté divers procédés de vérification dont des entrevues avec le personnel, des examens et des analyses de documents et de registres. La revue du cadre et du guide de mise en œuvre de la gestion intégrée du risque du SCT ont servi à l'élaboration des critères de vérification.

2.3 Constatations, recommandations et réactions de la direction

2.3.1 Cadre ministériel de gestion du risque

La direction, Assurance, sécurité et programme, est responsable de coordonner la gestion du risque à l'Agence, conformément aux éléments du CGIR du SCT. À cette fin, nous nous attendions à retrouver un cadre ministériel de gestion du risque qui inclurait au moins les éléments suivants :

  • une politique et des procédures ministérielles approuvées;
  • des rôles et responsabilités précisés;
  • une terminologie commune de gestion du risque définie; et
  • un processus de gestion du risque établi.

De façon générale, la gestion a mis en place un cadre ministériel de gestion du risque bien élaboré pour l'ensemble des opérations de l'ASC. Nous voulons toutefois signaler certaines constatations qui demandent l'attention de la gestion.

Politique et procédures ministérielles

L'ASC devrait avoir :

  • une politique et des procédures ministérielles approuvées en matière de gestion intégrée du risque;
  • une politique et des procédures ministérielles qui contiennent une terminologie claire; et
  • une bonne stratégie de communication afin de s'assurer que les attentes de la direction sont bien comprises.

Nous avons constaté qu'il existe une multitude de documents de référence et de travail qui ont été mis à la disposition du personnel afin de les aider à assumer leur responsabilité en matière de gestion du risque. Toutefois, il n'existe pas encore de politique et de procédures ministérielles approuvées bien que des ébauches datées respectivement de février et avril 2008 existent.

Il est important que les instruments qui font état notamment des principes, des exigences et de l'étendue d'application soient finalisés afin de communiquer formellement à tous les paliers de gestion de tous les secteurs les attentes de la direction en matière de gestion du risque.

Recommandations

1) Le responsable de la fonction de la gestion du risque devrait finaliser, faire approuver et diffuser la politique ministérielle et les procédures pertinentes.

Réaction de la direction

Le directeur, Assurance, sécurité et programme est d'accord avec la recommandation.

Diffusion de l'information

Afin d'assurer le succès de la mise en œuvre d'un CGIR ministériel, la direction devrait élaborer des consignes et des outils et les communiquer à tout le personnel de l'ASC. L'Intranet constitue un des moyens privilégiés et utilisés pour informer le personnel.

Même si la gestion du risque est une fonction de gestion corporative, nous avons constaté que, d'une part, les documents de référence du CGIR ministériel apparaissant dans l'Intranet font partie du système de documentation du CAGP et d'autre part, à leur lecture, l'information est excessivement axée sur les projets.

Il est capital de clarifier le fait que l'ASC dispose d'un cadre ministériel de gestion du risque et qu'il s'agit d'une fonction de gestion corporative applicable à tous les paliers de gestion de tous les secteurs et cela pour toutes leurs opérations. Il est vrai que la gestion de projets est au cœur des activités de l'ASC, mais il est important de mettre les choses en perspective et d'éviter les malentendus en distinguant clairement le cadre ministériel de gestion du risque du cadre de gestion de projet lequel comporte un volet de gestion du risque.

Il est essentiel de faire cette distinction et, un bon moyen pour commencer serait de retirer du système de documentation du CAGP la documentation ayant trait au CGIR ministériel pour la présenter et la diffuser dans une section distincte de l'Intranet.

Recommandations

Le responsable de la fonction de la gestion du risque devrait :

2) apporter les précisions nécessaires afin de distinguer clairement le CGIR ministériel du cadre de gestion de projet lequel comporte un volet de gestion du risque; et

3) présenter l'information ayant trait au CGIR ministériel dans une section de l'Intranet qui lui est propre.

Réaction de la direction

Le directeur, Assurance, sécurité et programme est d'accord avec les recommandations.

Champion de la gestion du risque

Nous nous attendions à retrouver un champion de la gestion du risque nommé par le président. Le rôle du champion devrait être assigné à un cadre supérieur étant donné qu'il doit fournir le leadership nécessaire visant à obtenir l'appui de l'ensemble des gestionnaires et du personnel. Dans le cadre de la mise en œuvre d'un CGIR ministériel, le champion choisi doit démontrer comment la gestion intégrée du risque aidera la direction à atteindre les objectifs de l'organisation. Il doit faire la promotion d'une ligne de pensée et d'une culture de gestion du risque qui s'étendront à l'ensemble des opérations. Il doit assurer une communication constante avec tous les secteurs et niveaux de gestion puisque le succès de la gestion intégrée du risque passe par la contribution des efforts de tout le personnel. De plus, le champion a la responsabilité de surveiller la mise en œuvre de la gestion intégrée du risque.

Le rôle du champion de la gestion intégrée du risque a été assigné au titulaire du poste de vice-président principal. Ce poste est cependant vacant depuis novembre 2008. Le rôle de champion est assumé temporairement par le directeur, Assurance, sécurité et programme.

Recommandations

4) Le président devrait s'assurer que le rôle de champion de la gestion du risque est assumé par un cadre supérieur (membre du CE) qui a une vision corporative.

Réaction de la direction

La fonction d'encadrement du risque corporatif aura comme champion le chef principal des finances (CFO). Ceci est conséquent avec le fait qu'il est déjà champion du CAGP (qui inclut l'encadrement au niveau des projets) et que les deux fonctions sont hautement intégrées.

Responsabilité de la fonction de la gestion du risque

La responsabilité de diriger et de coordonner la gestion intégrée du risque a toujours été assumée par le directeur, Planification et rendement. Depuis août 2007, cette responsabilité a été transférée au directeur, Assurance, sécurité et programme.

Il est cependant plus indiqué que la gestion du risque fasse partie intégrante de la fonction de planification ministérielle étant donné que le but recherché est l'intégration de la gestion du risque au processus de planification et d'établissement des priorités de l'ASC.

Par ailleurs, en situant la responsabilité de la gestion du risque au niveau du directeur, Planification et rendement, ceci renforce le fait que la gestion du risque s'applique à toutes les opérations de l'ASC. Étant donné que le directeur, Assurance, sécurité et programme a la responsabilité de l'administration du CAGP, on pourrait croire que la gestion du risque ne s'applique que dans le cadre de la gestion de projets.

Recommandations

5) Le président devrait s'assurer que la responsabilité de la fonction de gestion du risque est assumée par le titulaire du poste de directeur, Planification et rendement.

Réaction de la direction

La recommandation de retourner la gestion du risque corporatif sous l'égide du directorat Planification et rendement est acceptée en principe, mais elle sera confirmée plus tard durant l'année. Ce transfert devra inclure les considérations de liens avec d'autres fonctions telles que la gestion du CAGP et du projet GIP (Politiques de planification d'investissements et de gestion de projet), de même que l'impact des ressources requises pour toutes ces fonctions.

2.3.2 Cadre ministériel - Les principes de base de la gestion intégrée du risque

La gestion du risque devrait inclure un ensemble de pratiques de gestion qui identifient, évaluent, communiquent et gèrent les risques. La gestion du risque devrait améliorer la prise de décision, renforcer la structure de régie et accroître la capacité d'atteindre les objectifs de l'ASC. Nous nous attendions à retrouver les principes de base de la gestion intégrée du risque qui inclurait les éléments suivants :

  • Identification du risque;
  • évaluation du risque;
  • Réaction au risque; et
  • Suivi continu du risque

Nos constatations ont révélé que la direction a mis en place les principes de la gestion intégrée du risque conformément aux éléments proposés dans le CGIR du SCT.

2.3.3 Cadre ministériel de gestion du risque approuvé intégralement

Nous nous attendions à ce que la gestion intégrée du risque soit appliquée intégralement à l'ensemble des opérations de l'ASC.

Avant la mise en œuvre du CGIR ministériel, l'ASC avait un cadre de gestion du risque axé essentiellement sur les activités de projets. Depuis 2005, soit depuis les débuts de la mise en œuvre du CGIR ministériel, l'ASC dispose d'un cadre de gestion du risque qui intègre aux processus décisionnels les risques pouvant nuire à l'atteinte des objectifs organisationnels. Le CGIR ministériel fait en sorte que tous les paliers de gestion à l'échelle de l'organisation sont appelés à évaluer les risques qui peuvent affecter leurs activités opérationnelles.

Nos constatations ont révélé que la gestion applique la gestion intégrée du risque à l'ensemble de ses opérations.

Annexe 1 - Plan d'action de la gestion

 
Réf. Recommandations Responsabilité identifiée Détails du plan d'action Échéancier
2.3.1 Cadre ministériel de gestion du risque Organisation Fonction    
1) Le responsable de la fonction de la gestion du risque devrait finaliser, faire approuver et diffuser la politique ministérielle et les procédures pertinentes. Assurance, sécurité et programme Directeur Cette recommandation est acceptée.
  1. Finalisation des termes de référence et conditions concernant les CGR
  2. Finalisation du projet GIP (politiques de planification d'investissements et de gestion de projet) pour le 10 juin 2010
  3. Deux nouveaux postes (gestionnaire de projet) seront en place selon le plan de ressources humaines 09/10 de la direction, Assurance, sécurité et programme (un nouveau ÉTP pour le mois de mars 2010 et un nouveau ÉTP pour le mois de mars 2011), si approuvé.
  4. Finalisation de la politique ministérielle (en tenant compte des commentaires du projet GIP)
  5. Approbation de la politique ministérielle par le comité exécutif (CE)
  6. Diffusion de la politique ministérielle (présenté au comité de gestion des secteurs et diffusé sur le site Intranet)
  1. décembre 2009
  2. juin 2010
  3. mars 2010 / mars 2011
  4. octobre 2010
  5. novembre 2010
  6. février 2011
2) Le responsable de la fonction de la gestion du risque devrait apporter les précisions nécessaires afin de distinguer clairement le CGIR ministériel du cadre de gestion de projet lequel comporte un volet de gestion du risque. Assurance, sécurité et programme Directeur Cette recommandation est acceptée.

La gestion du risque corporatif et la gestion des risques d'un projet seront documentées d'une façon à voir les différences et les interactions entre les deux gestions. Ces documents seront présentés au CE pour approbation et déposés formellement sur le site Intranet.

  • présentation au CE : 15 janvier 2010
  • finalisation sur le site Intranet : 15 mars 2010
3) Le responsable de la fonction de la gestion du risque devrait présenter l'information ayant trait au CGIR ministériel dans une section de l'Intranet qui lui est propre. Assurance, sécurité et programme Directeur Cette recommandation est acceptée.

Un site dédié avec accès rapide (sur la page d'accueil de l'Intranet) sera créé après l'approbation des termes de référence et conditions pour les CGR et sera finalisé après l'approbation de la politique ministérielle.

  • ébauche : 15 novembre 2009
  • final : 15 novembre 2010
4) Le président devrait s'assurer que le rôle de champion de la gestion du risque est assumé par un cadre supérieur (membre du CE) qui a une vision corporative. ASC Président Le rôle du champion de la gestion intégrée du risque sera assumé par le chef principal des finances à partir d'octobre 2009. octobre 2009
5) Le président devrait s'assurer que la responsabilité de la fonction de gestion du risque est assumée par le titulaire du poste de directeur, Planification et rendement. ASC Président
  • Approbation du transfert de la fonction de gestion du risque « corporatif » au directeur, Planification et rendement.
  • Suite à l'approbation, le transfert sera fait après une période de transition raisonnable afin d'assurer que la dotation et les actions de transfert de connaissance soient appropriées.
  • à la fin de l'exercice financier (mars 2010)
  • être inclus dans le plan de travail de l'exercice financier 2010/2011