Vérification de la gestion des risques

1.0 Sommaire

Contexte

Ce rapport de vérification présente les résultats de la vérification de la gestion des risques du Conseil national de recherches du Canada (CNRC). Le président a approuvé la décision de mener cette vérification sur la recommandation du Comité de la vérification, de l'évaluation et de la gestion des risques le 19 mars 2008 dans le cadre du Plan de vérification interne axé sur les risques pour 2008 2009 à 2010 2011 du CNRC Note de bas de page 1 . La vérification a été effectuée de février 2009 à août 2009.

Objectif, portée et méthodologie de la vérification

La vérification vise à assurer la conformité du cadre de gestion des risques d'entreprise du CNRC à la Politique sur la gestion des risques du Conseil du Trésor, ainsi qu'aux directives et aux lignes directrices connexes. Cet objectif a permis de formuler des observations en ce qui concerne la mesure dans laquelle les politiques et les directives du CNRC en matière de gestion des risques d'entreprise répondent aux exigences du Conseil du Trésor et la pertinence du cadre de contrôle de gestion mis en place au CNRC.

La vérification a porté sur la façon dont le cadre de gestion des risques d'entreprise a été mis en œuvre et est appliqué dans l'organisation ainsi que dans un échantillon composé de cinq instituts, directions et programmes (IDP). L'équipe de vérification a aussi examiné la façon dont le cadre a été intégré aux activités de gestion, notamment à la planification des activités et aux processus décisionnels. Le choix des IDP a été effectué à la lumière d'analyses des risques et des contrôles faites à l'étape de la planification de la vérification, mais aussi de façon à assurer qu'aucun IDP à l'échelle du CNRC ne soit vérifié plus souvent que les autres et qu'aucun ne soit laissé de côté, à cause de sa petite taille, durant le cycle de vérification pluriannuel du CNRC. L'équipe de vérification a scruté les documents du CNRC portant sur la gestion des risques (c'est à dire le profil de risque de l'organisation, les plans d'activités du CNRC et des IDP ainsi que les mandats des divers comités de gouvernance), et elle a également effectué des visites dans les IDP et interviewé des gestionnaires et des employés afin d'évaluer la mesure dans laquelle les principes de gestion des risques ont été intégrés dans les activités du CNRC.

La vérification a été menée en appliquant une série de critères de vérification détaillée tenant compte de l'objectif de la vérification, en fonction desquels nous avons formulé des observations, des évaluations et des conclusions. Ces critères de vérification découlent principalement du Cadre de gestion intégrée du risque du Conseil du Trésor (2001) et de la version provisoire de Contrôles de gestion fondamental : un guide pour les vérificateurs internes (2007) du Bureau du contrôleur général.

Opinion et conclusion de la vérification

Sous réserve des restrictions associées aux échantillons et aux procédures de vérification exécutées, nous constatons que le cadre de gestion des risques du CNRC est généralement adéquatNote de bas de page 2, en ce sens qu'il respecte la Politique sur la gestion des risques du Conseil du Trésor ainsi que les directives et lignes directrices connexes. Nous avons trouvé les possibilités d'amélioration continues suivantes : élaborer et officialiser un cadre de gestion des risques plus exhaustif; appliquer plus systématiquement les lignes directrices de gestion des risques dans l'ensemble du CNRC et les intégrer de façon approfondie dans ses processus de planification des activités; et élaborer et intégrer les processus et outils officiels d'évaluation du contrôle afin d'atténuer les risques résiduels majeurs.

On retrouve dans les pratiques de gestion des risques du CNRC tous les éléments fondamentaux qui caractérisent les organisations matures et bien gérées. Le CNRC a un cadre de gestion des risques depuis 2005. Le profil de risque de l'organisation est examiné et mis à jour chaque année; les risques sont pris en compte durant l'établissement des plans d'activités annuels du CNRC et des IDP; et dans la plupart des IDP que nous avons examinés, nous avons trouvé des preuves documentées que les risques sont pris en compte dans le choix des projets de recherche. Les attentes en ce qui concerne l'intégration des principes de gestion des risques sont communiquées et comprises au niveau de l'organisation et des IDP.

Le CNRC n'a pas de politique officielle de gestion des risques. Le guide de gestion des risques affiché sur le site intranet du CNRC constitue la principale source documentée de son cadre de gestion des risques. Ce guide répond à la plupart des exigences du Conseil du Trésor, mais il doit décrire de façon plus explicite et plus exhaustive toutes les activités et obligations en matière de gestion des risques, notamment la tolérance aux risques du CNRC, le modèle de gouvernance (c'est à dire les rôles et les responsabilités) ainsi que les lignes directrices expliquant comment déterminer et partager l'information sur les risques.

Les risques d'entreprise sont évalués et traités chaque année lors de l'exercice annuel de profilage des risques. Les IDP doivent évaluer et éliminer les risques au moment d'établir leur plan annuel d'activités, mais ceux que nous avons examinés n'utilisent pas systématiquement le processus, les méthodes et les outils présentés dans le guide de gestion des risques du CNRC. Il serait possible d'améliorer la situation en établissant des renvois clairs entre le guide et les outils du processus de planification des activités et le Guide de gestion des risques afin d'assurer la qualité et la communication de l'information sur les risques.

Enfin, il serait possible d'améliorer les pratiques de gestion des risques du CNRC en créant un module officiel d'évaluation des mécanismes de contrôle dans le processus d'évaluation des risques. Nous avons constaté que ni l'organisation ni les cinq IDP que nous avons examinés n'ont de processus structuré ou de lignes directrices pour déterminer et évaluer les mécanismes de contrôle. Les mécanismes de contrôle sont examinés au moment d'évaluer le degré d'exposition aux risques résiduels attribué aux risques organisationnels dans le cadre du processus de profilage des risques de l'organisation, mais les IDP ne le font pas de façon systématique et peut-être même pas du tout.

Recommandations (dans l'ordre de priorité)

1. Le CNRC devrait articuler et approuver officiellement un cadre exhaustif de gestion des risques qui englobe ses activités et obligations liées à la gestion des risques, c'est à dire : préciser les attentes envers les cadres supérieurs; énoncer les rôles et responsabilités spécifiques de tous les employés, gestionnaires et comités; établir une méthode commune pour cerner et communiquer l'information sur les risques, précisant les exigences en matière de communication aux échelons supérieurs et la tolérance aux risques; articuler une stratégie de transfert des connaissances et de formation des employés; et énumérer point par point les exigences en matière de surveillance du cadre afin d'assurer l'amélioration continue. (Priorité élevée)

Réponse de la direction du CNRC :

Le CNRC doit se doter d'un cadre général de gestion des risques pour aller de l'avant et définir clairement les attentes et les responsabilités en matière de GRI. À cette fin, la Direction de la stratégie et du développement consultera le CHD et les cadres supérieurs du CNRC afin de rédiger un document approprié pour examen et approbation.

Le Cadre de gestion des risques clarifiera les attentes et aidera la haute direction et les gestionnaires du CNRC à mieux faire comprendre et à faire appliquer de façon plus systématique la GRI dans toute l'organisation.

2. Le CNRC devrait articuler et mettre en œuvre une stratégie afin d'améliorer l'application des lignes directrices de gestion des risques dans les IDP durant le processus de planification des activités afin d'assurer la qualité de l'information sur les risques ainsi que leur communication systématique. Cette stratégie devrait à tout le moins comporter des renvois explicites aux consignes de planification des activités données dans le Guide de gestion des risques du CNRC. (Priorité moyenne)

Réponse de la direction du CNRC :

Les lignes directrices pour l'établissement des plans d'activités de 2010 2011 comportaient un renvoi explicite aux ressources de gestion des risques qui se trouvent sur le site intranet, entre autres outils, le guide de gestion des risques. La Direction de la stratégie et du développement étudiera également et mettra en œuvre, le cas échéant, d'autres façons afin de sensibiliser les IDP aux outils et ressources de GIR mis à leur disposition.

3. Au moment d'élaborer son Cadre de gestion des risques, le CNRC devrait insister sur l'importance de déterminer systématiquement les mécanismes de contrôle qui existent afin d'évaluer les risques résiduels plutôt qu'uniquement les risques inhérents.

Réponse de la direction du CNRC :

Le CNRC évalue déjà les mécanismes de contrôle au moment où il établit le profil de risque de l'organisation et il en tient compte dans le processus de priorisation des risques. L'évaluation des mécanismes de contrôle et des risques résiduels fera partie de l'élaboration du Cadre de GR dont il est question à la recommandation 1.

Énoncé d'assurance

En ma qualité de dirigeante principale de la vérification, des procédures de vérification appropriées et suffisantes ont été suivies et assez d'éléments probants ont été recueillis pour étayer l'exactitude des conclusions présentées ici. Ces conclusions reposent sur une comparaison des situations telles qu'elles existaient alors, aux critères de vérification. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes de vérification interne du Conseil du Trésor, et les procédures utilisées respectent les normes professionnelles de l'Institut des vérificateursNote de bas de page 3.

Jayne Hinchliff Milne, CMA, directrice principale de la vérification

Membres de l'équipe de vérification du CNRCNote de bas de page 4 :
Irina Nikolova, F.C.C.A, CIA, CISA

Annexe : Évaluations globales possibles

Attention de la direction requise : Il existe des questions importantes qui méritent l'attention de la direction.

Améliorations nécessaires : Certaines zones d'application ou certains processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC, mais il existe de nombreuses lacunes.

Adéquate : La plupart des zones d'application ou des processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC, mais il existe des possibilités d'amélioration continue.

Élevée : Toutes les zones d'application ou tous les processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC. Aucun secteur d'amélioration n'a été relevé.

Notes de bas de page

Note de bas de page 1

En janvier 2009, ce comité du Conseil a été remplacé par le Comité de vérification ministériel quand le Conseil du Trésor en a nommé les membres.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Voir l'annexe pour consulter la liste des notes globales proposées

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Même si la vérification a été réalisée conformément aux normes internationales pour l'exercice professionnel de la vérification interne, le service de la vérification interne du CNRC n'a pas fait l'objet d'une évaluation externe une seule fois au cours des cinq dernières années, tel qu'il est exigé.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Pour épauler son équipe de vérification, le CNRC avait retenu les services d'experts en gestion intégrée des risques qui sont aussi des spécialistes de la vérification.

Retour à la référence de la note de bas de page 4