Bibliothèque et Archives Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Liens institutionnels

ARCHIVÉE - À notre sujet

Contenu archivé

Cette page Web archivée demeure en ligne à des fins de consultation, de recherche ou de tenue de documents. Elle ne sera pas modifiée ni mise à jour. Les pages Web qui sont archivées sur Internet ne sont pas assujetties aux normes applicables au Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette page sous d'autres formats à la page Contactez-nous.

Gestion du risque

Rapport de vérification
novembre 2009

Évaluations et vérifications

Introduction

1.1 Contexte

Depuis la fin des années 1990 et le début des années 2000, on porte un intérêt accru à la gestion du risque comme pratique qui, lorsqu'elle est mise en application de façon efficace en équilibrant son utilisation formelle et son utilisation informelle, peut renforcer de manière tangible la prise de décisions dans un monde moderne en constante évolution et de plus en plus complexe. Pour Bibliothèque et Archives Canada (BAC), gérer la voie à suivre pour l'évolution vers le numérique est un excellent exemple de la nécessité, dans le contexte actuel, de mettre l'accent sur la gestion du risque.

Malheureusement, le rythme du changement et la complexité croissante nécessitant des pratiques de gestion du risque améliorées sont survenus au même moment que le besoin d'améliorer la plupart des autres pratiques de gestion, par exemple la planification intégrée, la mesure du rendement et la vérification interne, afin de répondre aux attentes accrues en matière de responsabilisation, de transparence et d'intendance. Comme la plupart des organisations publiques et privées, BAC a entrepris des initiatives visant à renforcer ses principales pratiques de gestion, y compris celles liées à la gestion du risque. Des principaux secteurs de pratique de gestion, celui du risque est l'un des plus difficiles à améliorer, en partie parce qu'on sait pertinemment que le risque est toujours géré au moins de façon informelle (on parle souvent de gestion intuitive) et que, par le passé, cette façon de faire s'est avérée efficace. Vu la confiance historique à l'égard de la gestion informelle du risque, la plupart des organisations n'ont pas renforcé leurs connaissances et leurs capacités en s'appuyant sur des pratiques formelles. Aussi, il est forcément plus difficile aujourd'hui d'harmoniser efficacement les pratiques formelles et informelles.

La nécessité d'une gestion plus efficace du risque dans le secteur public provient, d'une part, des normes culturelles en matière de prudence et de risque minimal et, d'autre part, des exigences croissantes à l'égard des résultats moyennant des ressources limitées. Tout en continuant de respecter les normes historiques en matière de prudence, BAC a forcément commencé à évoluer, passant du risque minimal dans des secteurs choisis à la prise de risques calculés (p. ex., délégations de pouvoirs, ententes de partenariat) afin d'obtenir les résultats escomptés dans les limites des ressources existantes.

Les orientations relatives à l'exigence de renforcer la gestion du risque ont d'abord fait partie du Cadre de gestion intégrée du risque (Cadre de GIR), paru en 2001, puis du Cadre de responsabilisation de gestion (CRG), en 2003, tous deux élaborés par le Secrétariat du Conseil du Trésor du Canada (SCT). Ces cadres, ainsi qu'une évaluation des risques pour les collections en 2004 (suivant une recommandation du Bureau du vérificateur général en 2003), ont donné lieu à un engagement ministériel visant à élaborer un cadre de BAC qui servira de fondement pour renforcer la gestion du risque dans l'ensemble de l'organisation.

BAC a toujours réagi activement face aux risques importants en mettant en place des mesures telles que des politiques et des procédures relatives à la bonne gestion des documents, des mesures de sécurité, des vérifications internes, et même des projets d'immobilisation comme le Centre de préservation de Gatineau (Québec). Depuis 2004, BAC travaille à l'élaboration et à la mise en œuvre d'une approche de gestion intégrée du risque, laquelle a donné lieu à de la formation, à la rédaction d'un guide de gestion du risque et à l'intégration de l'analyse de gestion du risque à la planification opérationnelle annuelle. En outre, BAC a documenté ses risques stratégiques dans son profil initial du risque en 2007. On a toujours trouvé à BAC des exemples de méthodes formelles pour gérer les risques opérationnels. Cependant, grâce à la priorité mieux définie des dernières années de renforcer la gestion du risque, d'autres exemples d'approches formelles de la gestion du risque ont commencé à faire leur apparition. Citons comme principaux exemples les plans de gestion du risque et les registres de risques que l'on utilise dans le cadre d'importants projets de TI, ainsi que le nouveau cadre de gestion du risque pour les politiques et les procédures de BAC en matière de prêts et d'expositions. En raison de ces progrès sur le plan de la gestion intégrée du risque, BAC a reçu la cote « acceptable » pour la gestion du risque dans le cadre des évaluations fondées sur le CRG de 2007 (ronde V) et de 2008 (ronde VI).

On a procédé à la présente vérification de la gestion du risque en partie parce que les récentes évaluations fondées sur le CRG étaient de nature très générale (la gestion du risque n'est qu'une des 21 composantes de gestion touchées) et nécessitaient des niveaux de pratique minimaux pour satisfaire aux critères visés pour obtenir la cote « acceptable ». De plus, la gestion du risque est l'un des trois secteurs prioritaires que la Vérification interne doit examiner et pour lequel elle doit faire rapport conformément à la Politique sur la vérification interne (juillet 2009) du Secrétariat du Conseil du Trésor et au Cadre de référence des pratiques professionnelles de l'Institut des vérificateurs internes. Les deux autres secteurs prioritaires que la Vérification interne doit examiner et pour lesquels elle doit faire rapport sont la gouvernance et les contrôles.

En ces temps d'incertitude, comme l'a fait remarquer le Comité consultatif sur la fonction publique nommé par le premier ministre dans son rapport de février 2009, il faut adopter peu à peu une approche de gestion du risque. Le fait que le Comité consultatif reconnaît la nécessité de renforcer la gestion du risque permettra d'assurer un suivi naturel, étant donné que les comités ministériels de vérification doivent maintenant compter des membres externes et qu'ils se sont clairement vus confier le rôle de conseillers auprès des administrateurs généraux en se fondant sur la surveillance active des principaux secteurs, lesquels incluent expressément la gestion du risque. De plus, les administrateurs généraux, en tant qu'administrateurs des comptes, conformément aux révisions apportées à la Loi sur la gestion des finances publiques (LGFP), sont désormais légalement tenus de comparaître devant le Sénat et la Chambre des communes pour répondre à des questions sur le maintien de systèmes efficaces de contrôle interne, parmi lesquels la gestion du risque gagne en importance.

1.2 Objectifs de la vérification

La vérification visait à déterminer la mesure dans laquelle les pratiques de gestion du risque de BAC :

  • sont conformes aux politiques et aux lignes directrices du Secrétariat du Conseil du Trésor et à celles du Bureau du contrôleur général;
  • contribuent à assurer la gestion adéquate, proactive et efficace du risque d'une manière qui soit intégrée dans l'ensemble de l'organisation;
  • sont suffisamment et adéquatement comprises pour appuyer la fonction de vérification interne axée sur les risques.

1.3 Portée et approche de la vérification

La portée de la vérification comprenait un examen des pratiques et des contrôles de gouvernance et de gestion du risque en place dans l'ensemble de BAC, y compris les rôles de gestion et de direction de la fonction confiée aux groupes de planification.

La portée comprenait en outre des discussions avec les cadres supérieurs et les gestionnaires de BAC et d'autres organismes fédéraux concernant les meilleures pratiques et les attentes.

La vérification a été menée conformément à la Politique sur la vérification interne du SCT et aux Normes pour la pratique de la vérification interne de l'Institut des vérificateurs internes. Durant la phase de planification, on a confirmé la portée et les objectifs de la vérification en se fondant sur des examens de la documentation et des entrevues menées auprès de personnes clés. On a élaboré un programme détaillé de vérification définissant des critères et des procédés de vérification spécifiques qui visaient à évaluer la pertinence et l'efficacité des pratiques et des contrôles de gestion du risque. Durant la phase d'exécution de la vérification, le programme de vérification a été administré de façon systématique grâce à un vaste éventail d'entrevues et à de nouveaux examens de la documentation.

La vérification était fondée sur les critères élaborés dans le cadre d'une initiative de BAC visant à définir les principaux éléments de la gestion du risque dans le style du Cadre de responsabilisation de gestion (CRG). On a choisi ce style parce que les gestionnaires ont une bonne compréhension commune des éléments du CRG. La haute direction a procédé à l'examen du cadre de gestion du risque de BAC fondé sur le CRG et l'a validé.

La vérification a été réalisée en utilisant les dix (10) éléments clés du CRG en tant que champs d'enquête classés en deux groupes. Les critères de chacun des champs d'enquête sont définis à l'annexe A.

Mécanismes de conception et de gouvernance

  1. Gouvernance et orientation stratégique — La haute direction précise la vision d'une approche intégrée (horizontale, verticale, fonctionnelle), supervise et oriente la tolérance à l'égard du risque et veille à ce que la gestion du risque soit intégrée à la planification, à l'élaboration des politiques, à la prestation des services et aux processus décisionnels.

  2. Valeurs de la fonction publique — La culture ministérielle reconnaît le risque associé à toute activité et la nécessité de gérer le risque de façon explicite.

  3. Politique et programmes — L'engagement à l'égard de la gestion du risque et les rôles sont définis formellement dans une politique, et la planification annuelle relative à la gestion du risque est réalisée au moyen d'un profil de risque de l'organisation et de l'univers de risque.

  4. Résultats et rendement — Les progrès réalisés vers la maturité de la gestion du risque sont mesurés, et la communication et la divulgation des risques à la haute direction, aux organismes centraux, au Parlement et à la population se font de manière transparente, équilibrée et facile à comprendre.

  5. Responsabilisation — Les rôles et responsabilités à l'égard de la gestion du risque sont intégrés aux mécanismes ministériels de responsabilisation (descriptions de travail, évaluations du rendement).

Pratiques opérationnelles et de soutien

  1. Gestion du risque — Il existe un bon équilibre entre la gestion du risque formelle et informelle et le risque est réduit à un niveau acceptable (et non à un niveau minimum absolu comme règle générale). De plus, le risque est considéré comme un moyen de tirer profit d'une occasion.
  2. Services axés sur les citoyens — Les intervenants veillent à ce que leurs perceptions, réelles ou fausses, à l'égard du risque, soient intégrées aux analyses de risques.
  3. Gérance — Les exigences des autorités pertinentes à l'égard du risque sont incorporées, p. ex., le risque de non-conformité à la Loi sur la Bibliothèque et les Archives du Canada, à la Loi sur le droit d'auteur ou à d'autres autorités (Loi fédérale sur la responsabilité, Loi sur la gestion des finances publiques, politiques du SCT, etc.)
  4. Personnes — Les compétences et les besoins en ressources relatifs à la gestion du risque sont déterminés et pris en compte, et la communication des risques se fait en temps opportun.
  5. Apprentissage, innovation et gestion du changement — La gestion du risque est mise en œuvre selon les principes de l'apprentissage continu et de la gestion du changement (y compris des ressources suffisantes).

Précédent | Table des matières | Suivant