2007-716 Vérification de la stratégie d'atténuation des risques à la DGRH (Rapport final)

Le 25 septembre 2008

Table des matières

• Points principaux
  • Portée
  • Importance
  • Constatations
  • Réponse de la direction Points Saillants
• Introduction
• Contexte
• Objectifs de la vérification
• Observations
  1. La Direction générale des ressources humaines (DGRH) a formulé des stratégies d'atténuation dans le but de faire face aux risques connus liés aux ressources humaines.
  2. Les stratégies d'atténuation formulées n'ont pas été réévaluées à la suite de l'absence de financement.
  3. Le suivi de la mise en œuvre du processus d'atténuation des risques pour évaluer le fonctionnement et l'efficacité des réponses aux risques est médiocre; les leçons à tirer pour l'ensemble de la Direction générale n'ont pas été identifiées et analysées et le processus n'est pas suffisamment documenté.
  4. La DGRH doit veiller à ce que les gestionnaires suivent la formation et reçoivent l'orientation nécessaire pour mettre en œuvre le processus de gestion intégrée du risque.
• Conclusions
• Réponse de la direction Conclusions
• Recommandations
• À propos de la vérification
  • Objectifs
  • Portée et approche
  • Critères
  • Travaux de vérification effectués
  • Équipe de vérification

Points principaux

Portée

1. Les vérificateurs ont examiné le processus de gestion et d'évaluation des risques établis de la Direction générale des ressources humaines (DGRH) qui leur permet d'atteindre les objectifs énoncés dans leur plan d'affaires.

2. La vérification visait :

   • Les stratégies d'atténuation des risques de la DGRH (2007-2008);
   • Le suivi par la DGRH du déroulement des stratégies d'atténuation des risques;
   • La documentation du processus d'atténuation des risques par la DGRH.

Importance

3. La gestion efficace des risques assure la continuité des opérations gouvernementales, le maintien des services et la protection des intérêts du public canadien. La gestion des risques peut être extrêmement rentable lorsque les ministères évaluent leurs risques convenablement. Elle permet aux ministères de déterminer la façon la plus économique de minimiser ou de supprimer les risques complètement, limitant ainsi les dépenses résultant d'un accident ou d'une situation critique tout en maximisant l'atteinte des objectifs.

4. L'importance de la gestion des risques s'est accrue constamment depuis plusieurs années. On prend donc de plus en plus conscience de la nécessité de gérer les risques au sein des gouvernements plutôt que de les laisser uniquement à l'assurance commerciale.

5. Le mandat de Travaux publics et Services gouvernementaux Canada (TPSGC) est d'agir en tant que fournisseur de services communs auprès des ministères, des organismes et des conseils du gouvernement du Canada. En mettant l'accent sur les services de qualité et une saine gérance financière, TPSGC obtient le meilleur rapport qualité-prix en permettant à d'autres ministères et organismes du gouvernement d'assurer la prestation de leurs programmes et de leurs services à la population canadienne.

6. Une administration efficace des ressources humaines est au cœur de la gestion de son personnel, qui compte 13 743 personnes. Dans le cadre de sa gestion intégrée du risque, la DGRH a retenu trois risques principaux qui pourraient avoir de sérieuses conséquences pour la Direction générale, ses clients et les priorités gouvernementales. La gestion de ces risques altérera la prestation des services de la DGRH auprès de ses clients au sein de TPSGC. Si ces risques ne sont pas atténués, ils pourraient compromettre la qualité et l'efficacité des services que livre TPSGC aux ministères et organismes fédéraux.

Constatations

7. La DGRH a accompli des progrès en intégrant la gestion du risque à son processus de planification lors du lancement de son cadre de gestion intégrée des risques. Cela démontre son engagement à intégrer les risques dans sa planification annuelle des activités. Nous avons toutefois décelé certains éléments sujets à amélioration.

8. Particulièrement :

   • La DGRH a mis sur pied des stratégies d'atténuation des risques établis. Toutefois, nous n'avons pas trouvé de preuve d'une réévaluation de ces stratégies après qu'il fut déterminé que la DGRH ne recevrait pas les fonds requis pour les mettre en œuvre.
   • Nous n'avons pas non plus constaté la présence d'un suivi des stratégies d'atténuation des risques afin d'évaluer l'efficacité de la réponse. De plus, le suivi est très peu documenté. Bien que les gestionnaires de la Direction aient chacun pris des mesures individuelles pour faire le suivi des risques qui touchent leur propre secteur, nous n'avons pu déceler un suivi organisé à l'échelle de la Direction. Un meilleur suivi des risques et des stratégies d'atténuation afférentes confirmerait leur pertinence.
   • L'analyse et la documentation des leçons apprises au niveau de la Direction doivent être améliorées. Bien établir ces leçons demande des analyses approfondies, des discussions et de la documentation durant l'examen de mi-année de DGRH. Cela permettra à la Direction d'effectuer des évaluations de risques plus efficaces.
   • La DGRH a signalé que ses gestionnaires n'avaient pas reçu de formation en matière de risque. Cela représente un défi supplémentaire pour ceux qui participent au processus de gestion du risque.

Réponse de la direction

9. La DGRH est d'avis que les résultats de la vérification reflètent de manière exacte et juste l'état de la gestion intégrée des risques au sein de la DGRH pour l'exercice 2007-2008. La DGRH a l'intention de donner suite aux trois recommandations formulées dans le cadre de la vérification en mettant en œuvre, détaillé comme suit.

10. Les vérificateurs recommandent que le sous-ministre adjoint, DGRH :

    1. Surveille activement et documente la mise en œuvre des stratégies d'atténuation du risque pour évaluer le fonctionnement et l'efficacité des réponses, modifier le profil de risque au besoin et prendre des mesures correctives hâtives et efficaces le cas échéant

       Réponse de la DGRH. La DGRH accepte la recommandation et prendra les actions suivantes :

       1.1 Faisant partie de son objectif de mieux intégrer l'atténuation des risques dans ses opérations quotidiennes, la DGRH va ajouter un point permanent à l'ordre du jour du Comité de gestion de la Direction générale des ressources humaines (CGDGRH), afin de contrôler, d'évaluer et de modifier, de manière trimestrielle, les stratégies d'atténuation des risques, comme indiqué dans les procès verbaux du CGDGRH.

       1.2 Établir et mettre en œuvre un processus pour la mise à jour continue du plan d'affaires de la DGRH

    2. Analyse et documente les résultats du processus de gestion du risque à l'échelle de la Direction générale pour identifier les leçons apprises pour la gestion intégrée du risque subséquent, les ressources humaines et la planification opérationnelle et l'établissement de rapports.

       Réponse de la DGRH. La DGRH accepte la recommandation et prendra les actions suivantes :

       2.1 Effectuer un examen des risques dans le cadre duquel la DGRH :

       • évalue la maturité et la capacité de l'organisation à gérer les risques et l'approche employée par celle-ci pour y parvenir;
       • établit une liste détaillée des enjeux et des risques de la DGRH;
       • fait la promotion de la maturité de l'organisation pour ce qui est de la gestion des risques.

       2.2 Chaque année, au début du processus de planification d'affaires, analyser et rédiger des documents sur les leçons apprises en matière de gestion des risques et consacrer une réunion du CGDGRH à la question.

    3. Veille à ce que les gestionnaires de la Direction générale suivent les séances de formation et d'orientation nécessaires pour mettre en œuvre le processus de gestion intégrée du risque.

       Réponse de la DGRH. La DGRH accepte la recommandation et prendra l'action suivante :

       3.1 Identifier et mettre en place un cour sur la gestion des risques pour l'ensemble de l'équipe de direction de la DGRH.

       3.2 Introduire la formation au cours d'orientation pour nouveaux gestionnaires.

Introduction

11. La vérification visait à évaluer la mise en œuvre des stratégies d'atténuation des risques et du plan d'action connexe de la Direction générale des ressources humaines (DGRH).

Contexte

12. En 1994, le Conseil du Trésor (CT) établit la Politique sur la gestion des risques. L'objectif de cette Politique est de s'assurer que les ministères gèrent leurs propres risques. En avril 2001, le Secrétariat du Conseil du Trésor (SCT) a publié le Cadre de gestion intégrée du risque (CGIR) à titre d'orientation en matière de gestion du risque. Le Cadre, qui a été élaboré à la suite de recherches exhaustives menées tant au Canada qu'à l'étranger, est le résultat d'une consultation et d'une collaboration intenses à l'échelle de la fonction publique fédérale. L'un des éléments clés du CGIR réside dans son approche globale de la gestion des risques, qui fait appel à l'identification, la compréhension, l'évaluation et la gestion des principaux risques à l'échelle de l'organisation.

13. Travaux publics et Services gouvernementaux Canada (TPSGC) s'est engagé à solidifier ses pratiques de gestion des risques afin d'appuyer une meilleure prise de décision. À cette fin, TPSGC a publié son propre cadre de gestion intégrée du risque en 2001. La Politique de gestion intégrée des risques du ministère définit les rôles et les responsabilités des employés de TPSGC en matière de gestion des risques. Elle sert également à mettre sur pied des pratiques de gestion des risques à l'échelle de l'organisation.

14. En vue de pouvoir gérer les risques découlant de la transformation continue des activités et des réformes afférentes, TPSGC a établi le Bureau de l'agent principal de gestion des risques (BAPGR) à l'automne 2005. Le mandat du BAPGR consiste à certifier de façon indépendante au sous-ministre que les risques importants sont cernés et gérés de manière appropriée, ainsi qu'à renforcer la gestion des risques au Ministère. Il constitue un point de contact central pour les conseils portant sur la gestion des risques et pour la surveillance de la mise en œuvre du Cadre de gestion intégrée des risques et de la politique s'y rattachant.

15. Le processus de gestion du risque de TPSGC est décrit dans le Cadre de gestion intégrée des risques du Ministère et comprend les activités suivantes :

    • Détermination des risques : son but est de déterminer les risques qui menacent la réalisation des objectifs et des priorités.
    • Évaluation des risques : son but est d'évaluer la probabilité qu'un risque se matérialise ainsi que ses répercussions, et de classer les risques de manière à ce que les risques importants soient prioritaires.
    • Réponse aux risques (ou atténuation des risques) : son but est de trouver des options rentables visant à prévenir ou réduire la probabilité qu'un risque se matérialise ainsi que ses répercussions.
    • Suivi : son but est d'évaluer l'efficacité de la réponse et de déterminer les modifications à apporter au profil de risque.
    • Documentation du processus de gestion des risques : son but est de communiquer les décisions aux parties intéressées, de s'en servir comme outil pour les leçons apprises et de démontrer un respect des exigences.

16. L'objectif de la vérification concernait l'atténuation des risques, qui comprend la réponse aux risques, le suivi et la documentation du processus de gestion des risques.

17. La DGRH joue un rôle clé pour ce qui est d'aider le Ministère à réaliser ses priorités. Ce rôle permet une gestion efficace des ressources humaines en créant et en maintenant une structure interne de politiques, d'outils, de cadres de travail, de compétence ministérielle en matière de ressources humaines et d'équipes de soutien aux clients. La DGRH fournit du soutien aux ministères clients, notamment les gestionnaires ayant une délégation de pouvoir en matière de ressources humaines, pour qu'ils puissent gérer efficacement les ressources humaines dans le but de répondre aux objectifs et de contribuer aux priorités ministérielles.

18. La DGRH a intégré les risques dans sa planification des activités de 2007-2008. Elle a cerné trois risques principaux qui pourraient avoir de sérieuses conséquences pour la DGRH, ses clients et les priorités gouvernementales :

    • Impossibilité de créer et de maintenir une capacité suffisante au sein de la DGRH pour appuyer pleinement les programmes de transformation et de maintien des services essentiels de TPSGC ainsi que la modernisation de la gestion des ressources humaines;
    • Incapacité de moderniser les systèmes de gestion des ressources humaines et d'harmoniser les activités aux objectifs de modernisation;
    • Incapacité d'assurer la pleine conformité du Ministère au cadre juridique en matière de ressources humaines de la fonction publique.

Objectifs de la vérification

19. La DGRH est devenue un organisme distinct de la Direction générale des services ministériels, des politiques et des communications au printemps 2006 pour devenir une Direction à part entière. Nous nous sommes penchés sur le premier processus de gestion intégrée des risques de la DGRH réalisé en 2007-2008 et les stratégies d'atténuation des risques élaborées pour atteindre les résultats prévus dans son plan d'affaires.

20. Pour plus d'information concernant les objectifs, la portée, l'approche et les critères de la présente vérification, veuillez vous reporter à la section « À propos de la vérification ».

Observationss

1. La Direction générale des ressources humaines (DGRH) a formulé des stratégies d'atténuation dans le but de faire face aux risques connus liés aux ressources humaines.

21. Une stratégie d'atténuation des risques concerne une mesure prise par la direction pour prévenir ou réduire les conséquences se rattachant à un risque.

22. Nous nous attendions à ce que la DGRH ait élaboré des stratégies d'atténuation des risques lui permettant de faire face aux risques connus liés aux ressources humaines.

23. Ayant retrouvé, au printemps 2006, le statut de direction générale, la DGRH s'est consacrée à renforcer sa capacité pour mieux contribuer à la gestion ministérielle des ressources humaines. Lorsqu'elle a entrepris son premier processus de gestion intégrée des risques, la DGRH a dû relever les défis associés au manque de ressources nécessaires et au soutien restreint pour l'application d'un processus officiel et intégré de gestion des risques.

24. Nous avons constaté que la DGRH a effectivement préparé un processus de gestion des risques et qu'elle utilise une approche intégrée pour planifier et introduire l'atténuation des risques dans le processus. Durant la période de planification des activités de 2007-2008, la Direction générale a déterminé les risques en prenant en compte ceux des années précédentes ainsi que la situation actuelle, de telle sorte que son plan final pour 2007-2008 comprend trois risques clés et seize stratégies d'atténuation. Nous avons remarqué que les stratégies d'atténuation ont été conçues pour prévenir ou réduire la probabilité ou les conséquences des risques identifiés.

25. Bien que nous reconnaissons qu'il s'agissait du premier processus de gestion intégrée des risques, nous avons constaté que la DGRH s'est montrée très optimiste dans son approche d'atténuation des risques. Malgré qu'il soit important de ne pas décourager l'élaboration de plans ambitieux, il faut tenir compte des possibilités que les risques ne soient pas contrôlés si le plan n'est pas mis en œuvre.

26. Comme il a été mentionné, le rôle de Bureau de l'agent principal de gestion des risques (BAPGR) consiste en partie à servir de point central pour fournir des conseils en matière de gestion des risques. Au moment de la vérification, le BAPGR n'avait pas commenté le profil de risque de la DGRH ni ses stratégies d'atténuation des risques préparées durant le cycle de planification des activités pour 2007-2008.

« Meilleures pratiques pour l'identification, l'évaluation et l'atténuation des risques

• L'utilisation d'une approche fondée sur les risques pour la planification facilite l'intégration de l'atténuation des risques dans le processus.
• L'identification des risques devrait tenir compte des risques internes et externes ainsi que des priorités et des engagements de la Direction générale (DG) et du Ministère.
• L'évaluation des risques devrait envisager de manière adéquate les possibilités et les conséquences liées aux risques, et les stratégies d'atténuation devraient prendre en considération les avantages et les coûts de leur mise en œuvre.
• Des experts externes en la matière devraient examiner et tester les profils de risque et les stratégies d'atténuation afin d'aider la DG à s'assurer que la politique et le cadre d'action soient appliqués de manière cohérente et que les mesures prises soient appropriées. »

2. Les stratégies d'atténuation formulées n'ont pas été réévaluées à la suite de l'absence de financement.

27. Les ressources de l'organisation peuvent couvrir les coûts de la mise en œuvre de certaines stratégies d'atténuation. Toutefois, dans d'autres cas, des ressources supplémentaires s'avèrent nécessaires. Si les ressources ne sont pas disponibles, les stratégies doivent être reformulées pour refléter les contraintes opérationnelles auxquelles fait face l'organisation.

28. Lors de l'élaboration de ses stratégies d'atténuation des risques, la DGRH a déterminé qu'il fallait obtenir des fonds supplémentaires pour aider à atténuer les trois risques principaux. La DGRH a élaboré quatre propositions d'investissement stratégique en vue d'obtenir 12,8 M $ de la réserve stratégique du Ministère, de manière à pouvoir financer ses stratégies d'atténuation.

29. Ces propositions sont les suivantes :

    1. Renforcement de la capacité des systèmes et des ressources humaines relativement à la rémunération (6,8 M $);
    2. Investissement dans la capacité de la Direction générale des ressources humaines en vue de soutenir le programme de transformation (3,5 M $);
    3. Développement du leadership en appui au programme de transformation (450 000 $);
    4. Préparation au passage à PeopleSoft : Étape de prédéfinition (2 M $).

30. Ces propositions ont été élaborées dans le contexte d'autres propositions de recherche de financement. Finalement, la DGRH a obtenu de la réserve stratégique 5 M $ pour améliorer la capacité des systèmes et des ressources humaines relativement à la rémunération. Elle n'a obtenu aucun financement additionnel pour les trois autres propositions.

31. Pour une gestion efficace des risques, il faut effectuer l'identification et l'atténuation des risques de manière continue. Nous nous attendions à ce que la DGRH montre que les stratégies d'atténuation des risques seraient évaluées une fois qu'il a été déterminé qu'elle n'obtiendrait pas le financement demandé. Même si la DGRH a indiqué dans ses analyses de rentabilisation que le manque de financement aurait des répercussions sur la prestation des principaux services de ressources humaines, et qu'il retarderait davantage la réalisation des améliorations grandement requises pour les systèmes des ressources humaines du Ministère permettant d'appuyer le programme de transformation, nous n'avons noté aucune surveillance ou étude officielle des stratégies d'atténuation des risques de la DGRH justifiant la réaffectation des ressources ou permettant de déterminer les répercussions propres au manque de financement.

« Meilleures pratiques pour la mise en œuvre des stratégies d'atténuation des risques

• L'identification des stratégies d'atténuation des risques doit tenir compte de manière appropriée la tolérance à accepter, à transférer, à partager, à éviter ou à atténuer les risques; les coûts de l'atténuation et des conséquences liées aux risques; la capacité d'obtenir les ressources pour faire face aux risques.
• On effectue des études de rentabilisation qui tiennent compte clairement des risques, des stratégies d'atténuation proposées et des conséquences découlant du défaut de mise en œuvre des stratégies, lorsqu'on évalue que le coût de mise en œuvre de certaines stratégies d'atténuation requiert des fonds supplémentaires.
• Les stratégies d'atténuation des risques doivent être modifiées si la disponibilité des ressources ne correspond pas aux plans originaux. »

3. Le suivi de la mise en œuvre du processus d'atténuation des risques pour évaluer le fonctionnement et l'efficacité des réponses aux risques est médiocre; les leçons à tirer pour l'ensemble de la Direction générale n'ont pas été identifiées et analysées et le processus n'est pas suffisamment documenté.

32. Le suivi des stratégies d'atténuation des risques permet à la direction d'évaluer le fonctionnement et l'efficacité des réponses aux risques et de prendre rapidement des mesures efficaces lorsque les réponses n'ont pas eu l'effet escompté. En documentant le processus d'atténuation des risques, la DGRH peut montrer en quoi les décisions prises sont justifiées. Sans une évaluation continue du processus de gestion des risques, rien ne permet de s'assurer que les leçons apprises sont identifiées, que la prise de décisions est améliorée en conséquence et que les rapports de rendement et les résultats sont appropriés.

33. Dans le cadre de la politique ministérielle de TPSGC sur la gestion intégrée des risques, la responsabilité de la gestion des risques relève du Comité des politiques ministérielles, de la Direction générale et des gestionnaires opérationnels. La politique prévoit également l'examen régulier du profil de risque du Ministère. De plus, selon la politique, la direction et les employés doivent s'assurer que les éléments clés de l'évaluation des risques sont documentés, et ce, en fonction de l'ampleur et de la complexité des risques, des attentes des intervenants et du besoin d'expliquer et de faire référence à l'évaluation des risques. Finalement, la documentation permet à la direction de démontrer qu'elle a fait preuve de la diligence requise.

34. Nous nous attendions à trouver que le processus d'atténuation des risques de la DGRH était suivi et documenté de manière appropriée afin de gérer les risques et de transmettre l'information. De plus, nous nous attendions à ce que le processus soit évalué et que les leçons soient intégrées dans les activités futures, sans oublier la conformité aux politiques de TPSGC et du CT ainsi qu'au cadre du SCT.

Indications limitées de suivi continu et de documentation du processus

35. Nous avons trouvé qu'il existe un certain suivi des progrès réalisés par rapport aux stratégies d'atténuation des risques, y compris la conformité à certaines exigences obligatoires de la Commission de la fonction publique en matière de suivi.

36. Toutefois, nous avons constaté que la mise en œuvre des stratégies d'atténuation des risques faisait l'objet d'un suivi continu limité, lequel est requis pour l'évaluation du fonctionnement et de l'efficacité du processus. De plus, la documentation du suivi est médiocre. Sans suivi adéquat, la Direction générale n'est pas en mesure d'identifier les changements au profil de risque ou d'ajuster les mesures correctives. Bien que les questions liées aux stratégies d'atténuation des risques individuels aient pu être soulevées lors de diverses réunions et journées de réflexion, le suivi continu des risques et des stratégies d'atténuation n'est pas assuré de manière organisée.

37. Le tableau de bord de la DGRH est le mécanisme utilisé pour documenter, suivre et signaler les progrès des mesures spécifiques associées à chaque stratégie d'atténuation des risques. Toutefois, il n'est pas utilisé à cette fin de manière adéquate. Bien que le tableau de bord contienne les renseignements de base, nous avons noté que le suivi de l'état des mesures prises n'était pas suffisant. Puisqu'il y avait eu peu de mises à jour de l'information de départ, nous n'avons trouvé aucune indication de suivi continu ou de progrès au dossier.

38. En se basant sur son plan d'activités, la DGRH devait faire de la gestion intégrée des risques un élément de l'ordre du jour des réunions bimensuelles de son comité de gestion. Nous n'avons trouvé ni documentation, présentation, compte rendu ou rapport de décision à l'effet que la gestion intégrée des risques ait été discutée aux réunions du comité. De plus, nous n'avons rien trouvé qui indique que les résultats des stratégies d'atténuation des risques de la DGRH sont communiqués formellement au personnel approprié, que ce soit à l'intérieur ou à l'extérieur de la Direction générale.

39. Le cycle de planification des activités de la DGRH pour 2008-2009 a débuté durant l'examen semestriel de 2007-2008. Ce processus devait inclure l'examen des risques et des leçons apprises en 2007-2008 afin d'élaborer des mesures correctives et des plans d'actions préventives harmonisés avec les plans opérationnels. On a demandé à la haute direction de préparer des plans d'actions préventives et de mesures correctives ainsi que des rapports détaillés sur l'état des diverses stratégies d'atténuation pour les risques connus. Bien que la DGRH ait signalé certains progrès associés à plusieurs des 16 stratégies d'atténuation, nous avons constaté des progrès limités pour de nombreuses stratégies clés. Par exemple, peu de progrès dans l'élaboration de plans secondaires détaillés (y compris les plans de dotation, de maintien, de relève, de formation et de classification) avaient été réalisés au-delà du cadre actuel du plan des ressources humaines. Les conséquences relatives à l'absence de plans secondaires n'étaient pas mesurées.

40. Si la DGRH veut répondre de manière adéquate aux risques connus, elle doit : suivre les risques et les stratégies d'atténuation associées de manière continue afin de s'assurer de la pertinence et de la réussite des stratégies dans le temps; documenter ce suivi. Le processus utilisé actuellement par la DGRH ne permet pas de mesurer les progrès et d'évaluer les risques.

Nécessité d'identifier, d'analyser et de documenter les résultats et les leçons apprises dans l'ensemble de la Direction générale.

41. Comme on en a déjà fait mention, l'un des objectifs de la politique ministérielle sur la gestion intégrée des risques est de créer un milieu et une culture de travail soucieux des risques en communiquant au personnel la valeur d'apprendre par expérience, de partager les meilleures pratiques et les leçons à retenir et de favoriser l'innovation. Documenter les motifs des décisions permet de renforcer la responsabilisation et de faire preuve de diligence. En plus d'être une preuve de responsabilisation, de transparence et de diligence, la documentation appropriée peut servir d'outil de formation.

42. La DGRH utilise actuellement les processus ministériels établis ou documentés, indiqués dans la politique ministérielle et le cadre de gestion intégrée des risques de TPSGC. Dans la version finale de son plan d'activités pour 2007-2008, la DGRH a fourni les résultats de son processus d'identification et d'évaluation des risques. De plus, les gestionnaires individuels ont pris les mesures nécessaires pour mettre en pratique dans leur secteur les leçons apprises.

43. Voici certaines des mesures apprises auxquelles on a donné suite :

    • De concert avec le président-directeur général, Direction générale des services d'infotechnologie, la Direction des systèmes d'affaires et des nouvelles initiatives, prépare une nouvelle ébauche de l'analyse de rentabilisation portant sur PeopleSoft, en vue de préciser davantage la raison pour laquelle on doit obtenir du financement pour le logiciel. L'objectif est de présenter l'analyse à la prochaine réunion du comité ministériel, dans le cadre de laquelle on établira les priorités en matière de financement.
    • Les spécialistes de la planification des ressources humaines, qui établissent des plans en matière de ressources humaines pour les directions générales clientes, présentent actuellement un nouveau modèle de plan des ressources humaines 2008-2009. Ce modèle met davantage l'accent sur l'évaluation des risques, y compris un processus préétabli et un guide de planification des ressources humaines. Le guide abordera les rôles des spécialistes de la planification des ressources humaines, des intervenants, du directeur des Ressources humaines et des cadres supérieurs de la Direction générale, et définira les éléments devant être produits par les spécialistes de la planification des ressources humaines. La DGRH prévoit également faire appel à un expert-conseil pour créer un calendrier de planification des ressources humaines, de manière à terminer le cycle à la même date tous les ans.

44. Bien que nous ayons constaté qu'il y a eu des leçons acquises au niveau des secteurs, il faut améliorer la préparation de la documentation des résultats et des leçons apprises pour l'ensemble de la Direction. Une telle amélioration permettra de prendre rapidement des mesures correctives et de formuler des recommandations pour les activités futures de planification des ressources humaines et de gestion du risque. De plus, nous avons constaté que la production de rapports sur les conséquences des enjeux était limitée et qu'il n'y avait pas de précision sur les enjeux auxquels la haute direction devait prêter attention. Nous avons observé que la section sur la gestion du risque n'était pas remplie complètement et n'était pas utilisée comme outil efficace pour surveiller et mettre en œuvre des stratégies d'atténuation du risque et en rendre compte.

45. Dans le cadre de l'examen semi-annuel, la DGRH devait aborder la question des leçons apprises conséquemment au processus de gestion intégrée des risques pour guider la mise au point du plan pour l'exercice suivant ainsi que le processus de gestion intégrée des risques. Bien qu'il ait été impossible d'obtenir de la documentation, nous avons appris, durant les entretiens, que les leçons apprises avaient été abordées. Nous nous attendions, dans le cadre du processus d'examen de mi-année, à ce que la DGRH prépare une présentation des résultats de la surveillance effectuée à ce jour et des leçons apprises. Nous espérions également que les procès-verbaux ou comptes rendus des réunions et d'autres documents seraient mis à notre disposition pour nous informer des sujets qui ont été abordés, ainsi que des mesures correctives prises en réaction aux problèmes soulevés, aux examens ou à la surveillance des risques, et aux leçons apprises. Or, nous n'avons trouvé aucun indice que tout cela avait été fait. Il faut, pour faciliter le travail d'élaboration des plans subséquents et cibler les risques en cours et futurs, avoir sous la main la documentation ou les registres ou sont consignés les activités de surveillance, les rajustements apportés, les décisions prises et les leçons apprises.

46. Afin que les leçons apprises soient vraiment utilisées pour améliorer les activités, il faut procéder à une analyse et à une discussion plus détaillée et préparer une documentation plus élaborée. De cette manière, la planification au cours des années subséquentes pourra prendre en considération les leçons apprises afin que la Direction générale soit dorénavant en mesure de réaliser des évaluations efficaces.

« Meilleures pratiques pour surveiller et documenter les risques

• Il faut modifier les stratégies d'atténuation du risque au fur et à mesure que les situations évoluent, de nouveaux risques ont été ciblés ou la progression n'est pas celle qui avait été prévue
• Il faut surveiller, documenter et communiquer le rendement des activités de gestion du risque tout au long de l'année afin de bien gérer les risques et de faciliter la prise de décisions relativement aux mesures correctives à prendre.
• La gestion du risque comprend l'acceptation des succès et des échecs et la capacité d'en tirer des leçons, en déterminant et en communiquant les meilleures pratiques ainsi que les leçons apprises.
• L'examen de mi-année du cycle de planification commerciale est un moment idéal pour évaluer officiellement les risques, déterminer les leçons apprises, et veiller à ce que les mesures correctives soient prises dans les secteurs visés. Cette façon de faire facilitera également la planification et la gestion intégrée du risque pour le prochain exercice. »

4. La DGRH doit veiller à ce que les gestionnaires suivent la formation et reçoivent l'orientation nécessaire pour mettre en œuvre le processus de gestion intégrée du risque.

47. Le Ministère a mis au point un Guide/Manuel de gestion des Risques fondé sur le cadre de gestion du CT pour l'intégration de la gestion du risque. Ce document fournit aux gestionnaires de la DGRH une démarche commune pour les aider à évaluer les risques et à les résoudre.

48. La DGRH a mentionné que ses gestionnaires n'ont pas reçu de formation officielle dans le domaine de la gestion du risque. Sans formation et orientation adéquates, il est plus difficile pour les gestionnaires de cibler tous les risques et de mettre au point les stratégies et mesures appropriées pour atténuer ces risques.

49. La DGRH doit veiller à ce que ses gestionnaires suivent les séances de formation et d'orientation nécessaires pour mettre en œuvre le processus de gestion intégrée du risque. Il s'agit d'obtenir l'orientation et l'aide des experts fonctionnels sur la gestion intégrée du risque et des commentaires sur les profils et les stratégies mis au point. Au cours de la vérification, le Bureau de l'agent principal de gestion des risques (BAPGR) a mis au point un programme de formation sur la gestion du risque à l'intention des gestionnaires de TPSGC et a organisé un cours pilote le 21 février 2008.

« Meilleures pratiques pour la mise en œuvre du processus de gestion des risques

• Les gestionnaires doivent suivre une formation pour acquérir et tenir à jour les connaissances sur le cadre de travail de la gestion intégrée du risque, la politique, les procédures et les outils servant à la gestion intégrée du risque. Cet apprentissage leur fournira une démarche commune pour l'évaluation des risques, la mise au point des stratégies d'atténuation des risques et mettre en œuvre le processus de gestion intégrée des risques.
• Les gestionnaires des risques ont besoin de séances d'orientation pour assurer une mise en œuvre efficace du processus de gestion intégrée du risque. Ils en tireraient les habiletés et compétences nécessaires pour appliquer la politique, le cadre de travail et les outils de gestion du risque qui ont été mis au point. »

Conclusions

50. Le processus de gestion intégrée du risque mis en œuvre par la DGRH a fait la preuve de son engagement à intégrer le risque au processus de planification d'affaire annuel. Nous avons constaté que la Direction générale a mis au point des stratégies d'atténuation pour répondre aux risques ciblés dans le secteur des ressources humaines. Nous avons également constaté que la DGRH, lorsqu'elle a été confrontée au manque de financement, n'a pas réévalué la situation pour trouver les stratégies d'atténuation appropriées qui pourraient être mises en œuvre en misant sur les ressources existantes.

51. Bien que les gestionnaires de la DGRH aient pris individuellement des mesures pour surveiller la progression des risques touchant leurs secteurs respectifs, il semble que la surveillance n'a pas été effectuée suivant une démarche organisée commune à l'ensemble de la Direction générale. Nous n'avons trouvé que peu d'information sur les résultats de la mise en œuvre des stratégies d'atténuation du risque et de leur communication à la haute direction. En conséquence, il n'y a pas de garantie à savoir si la direction a réellement effectué une surveillance du processus de gestion intégrée du risque. La direction devra prêter une attention soutenue à l'évaluation du processus de gestion intégrée du risque et à sa documentation, ce qui lui permettra de mieux démontrer son empressement et facilitera l'identification des leçons apprises pour aider la DGRH à réagir plus adéquatement aux risques et ainsi à mieux servir sa clientèle.

Réponse de la direction

52. La DGRH est d'avis que les résultats de la vérification reflètent de manière exacte et juste l'état de la gestion intégrée des risques au sein de la DGRH pour l'exercice 2007-2008. La DGRH a l'intention de donner suite aux trois recommandations formulées dans le cadre de la vérification en mettant en œuvre, détaillé comme suit.

Recommandations

Les vérificateurs recommandent que le sous-ministre adjoint, DGRH :

1. Surveille activement et documente la mise en œuvre des stratégies d'atténuation du risque pour évaluer le fonctionnement et l'efficacité des réponses, modifier le profil de risque au besoin et prendre des mesures correctives hâtives et efficaces le cas échéant.

   Réponse de la DGRH. La DGRH accepte la recommandation et prendra les actions suivantes :

   1.1 Faisant partie de son objectif de mieux intégrer l'atténuation des risques dans ses opérations quotidiennes, la DGRH va ajouter un point permanent à l'ordre du jour du Comité de gestion de la Direction générale des ressources humaines (CGDGRH), afin de contrôler, d'évaluer et de modifier, de manière trimestrielle, les stratégies d'atténuation des risques, comme indiqué dans les procès verbaux du CGDGRH.

   1.2 Établir et mettre en œuvre un processus pour la mise à jour continue du plan d'affaires de la DGRH

2. Analyse et documente les résultats du processus de gestion du risque à l'échelle de la Direction générale pour identifier les leçons apprises pour la gestion intégrée du risque subséquent, les ressources humaines et la planification opérationnelle et l'établissement de rapports.

   Réponse de la DGRH. La DGRH accepte la recommandation et prendra les actions suivantes :

   2.1 Effectuer un examen des risques dans le cadre duquel la DGRH :

   • évalue la maturité et la capacité de l'organisation à gérer les risques et l'approche employée par celle-ci pour y parvenir;
   • établit une liste détaillée des enjeux et des risques de la DGRH;
   • fait la promotion de la maturité de l'organisation pour ce qui est de la gestion des risques.

   2.2 Chaque année, au début du processus de planification d'affaires, analyser et rédiger des documents sur les leçons apprises en matière de gestion des risques et consacrer une réunion du CGDGRH à la question.

3. Veille à ce que les gestionnaires de la Direction générale suivent les séances de formation et d'orientation nécessaires pour mettre en œuvre le processus de gestion intégrée du risque.

   Réponse de la DGRH. La DGRH accepte la recommandation et prendra l'action suivante :

   3.1 Identifier et mettre en place un cour sur la gestion des risques pour l'ensemble de l'équipe de direction de la DGRH.

   3.2 Introduire la formation au cours d'orientation pour nouveaux gestionnaires.

À propos de la vérification

Objectifs

53. L'objectif de cette vérification interne était d'évaluer la mise en œuvre des stratégies d'atténuation du risque de la Direction générale des Ressources humaines (DGRH) et du plan d'action connexe.

Portée et approche

54. La vérification a été menée de novembre 2007 à février 2008. Elle s'est concentrée sur les stratégies d'atténuation du risque de 2007/2008 mises au point par la DGRH afin d'atteindre les résultats prévus dans son plan d'action commercial.

55. La vérification portait notamment sur la méthode utilisée par la Direction générale pour atténuer les risques, la surveillance et la documentation de la gestion du risque en réaction aux risques ciblés. L'évaluation s'est attachée aux approches de gestion du risque intuitives et qu'aux systématiques utilisées par les gestionnaires.

56. La vérification a été menée conformément à la politique du Conseil du Trésor (CT) sur la vérification interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

57. Des entretiens ont eu lieu avec les principaux membres du personnel. Les processus et documents pertinents ont été examinés. En fonction de l'analyse de l'information et de la preuve recueillies, l'équipe de vérification a préparé les résultats et conclusions de la vérification, qui ont été validés par les gestionnaires visés avant la déposition de l'Ébauche du Rapport final au Comité de vérification et évaluation de TPSGC.

Critères

58. Les critères de vérification suivants ont été passés en revue et acceptés par la DGRH :

    1. La DGRH identifie les stratégies d'atténuation du risque pour répondre aux risques identifiés dans le secteur des ressources humaines.
    2. La mise en œuvre de la stratégie d'atténuation du risque devrait être supervisée pour en évaluer le fonctionnement et mesurer l'efficacité des réponses.
    3. Le processus d'atténuation du risque devrait être documenté afin de communiquer et de bien gérer le risque.

Travaux de vérification effectués

59. Les travaux de vérification sur place se sont terminés le 13 février 2008.

Équipe de vérification

60. La vérification a été effectuée par les membres de la Direction générale de la vérification et de l'évaluation sous la direction générale de la dirigeante principale de la vérification, Direction générale de la vérification et de l'évaluation.