Aller au contenu principal Aller au pied de page

Vérification de la gestion des risques de l’entreprise (GRE)

Vérification de la gestion des risques de l’entreprise, Juin 2022

Télécharger le rapport intégral ici


1. Introduction

La Vérification de la gestion des risques de l’entreprise (GRE) de la Ville d’Ottawa (la « Ville ») faisait partie du Plan de travail 2022-2023 du Bureau de la vérificatrice générale (BVG), approuvé par le Conseil municipal le 3 décembre 2021.

2. Renseignements généraux et contexte

La Ville est une municipalité vaste et complexe, chargée d’offrir une multitude de services aux résidents d’Ottawa et à ses visiteurs. Il est essentiel que la Ville se dote de processus pour recenser, gérer et maîtriser les risques afin de respecter les priorités établies dans son Plan stratégique 2019-2022 et dans son Plan officiel.

La GRE consiste à instituer des processus et des pratiques dans l’ensemble de l’entreprise afin de recenser, d’évaluer, de maîtriser, de surveiller les risques pour le succès de la réalisation des objectifs organisationnels et d’en rendre compte. Le succès des programmes de GRE permet d’assurer la cohésion et la régularité des activités de gestion des risques dans l’ensemble de l’administration et d’étayer les décisions stratégiques et opérationnelles adoptées.

Dans l’administration municipale, la GRE est régie par la Politique de GRE (la « Politique », dont la dernière mise à jour remonte à 2019) et par un cadre auxiliaire de GRE (le « Cadre », mis au point par le Service des affaires municipales en s’inspirant du cadre conceptuel de GRE approuvé par le Conseil municipal et daté du 25 septembre 2011). La Politique et le Cadre décrivent les attentes générales dans les activités de gestion des risques dans l’ensemble de la Ville, définissent les fonctions et les attributions essentielles dans le processus de gestion des risques et apportent certains outils de gestion des risques pour s’assurer que les risques sont évalués et encadrés uniformément dans l’ensemble de l’administration municipale.

Les pratiques de GRE de la Ville ont évolué depuis l’élaboration du Cadre. En 2016, l’administration municipale a prise la décision d’adopter un modèle décentralisé, dans lequel chaque direction générale serait responsable de la gestion de ses propres risques. Que ces risques soient propres aux opérations, aux projets ou aux programmes, le Cadre tient compte de trois grands niveaux de risques : les risques des directions générales, les risques horizontaux et les risques municipaux. À l’heure actuelle, chaque directeur général (DG) est redevable des risques et des pratiques de gestion des risques de sa direction générale. Les activités des directions générales sont appuyées par l’unité des Services de soutien aux activités (SSA) dans chaque direction générale.

Les risques des directions générales, les risques horizontaux et les risques municipaux sont soumis à un examen dans le cadre d’un cycle annuel. Dans la foulée du compte rendu annuel sur les risques des directions générales, la Direction générale des services novateurs pour la clientèle (DGSNC) coordonne un travail de collaboration avec les responsables des risques des SSA pour examiner les risques des directions générales afin de recenser les risques horizontaux (soit les risques recensés par plusieurs directions générales). On analyse ensuite les risques horizontaux pour connaître les occasions de les maîtriser collectivement et pour savoir s’il faut en saisir l’équipe de la haute direction (EHD) parce qu’il s’agit de nouveaux risques municipaux. Dans le cadre de l’évolution des pratiques de gestion des risques, on adresse désormais chaque année, à l’EHD, l’information sur les tendances dans l’évolution des risques horizontaux afin d’éclairer les examens éventuels des risques.

La DGSNC joue également un rôle de coordonnatrice auprès des directions générales afin de recenser chaque année les risques municipaux; les directions générales peuvent aussi recenser des risques municipaux pendant le déroulement de leur examen des risques des directions générales.

3. Objectif et portée de la vérification

L’objectif de cette mission de vérification consistait à donner une assurance raisonnable sur le programme de GRE de la Ville. Plus précisément, cette mission a permis de mener une évaluation pour savoir si :

  • l’approche adoptée par la Ville dans la GRE permet de prendre des décisions efficaces en fonction des risques;
  • les processus et les pratiques de GRE sont établis, concordent avec le Cadre et la Politique et sont appliqués uniformément dans l’ensemble des directions générales; et
  • la Ville a une culture rigoureuse dans la gestion des risques, qui encourage à recenser et à gérer les risques en permanence.

Cette mission de vérification a essentiellement porté sur les activités de gestion des risques exercées au niveau de la Ville et des directions générales par les employés, les membres de l’équipe de direction et les membres du Conseil municipal (le « Conseil »). Cette mission a priorisé :

  • la gouvernance et l’encadrement;
  • la mise en œuvre des processus de GRE;
  • la surveillance et le compte rendu des risques et les décisions afférentes;
  • la culture de gestion des risques (en mettant l’accent sur la connaissance des processus, sur les responsabilités, sur les attitudes, sur la formation et sur le soutien apporté par la haute direction).

Cette mission a porté sur la période comprise entre le 1er janvier 2019 et le 31 décembre 2021.

Les vérificateurs n’ont pas évalué les activités de gestion des risques propres aux projets ou aux programmes. En outre, il était pour notre part entendu que la pandémie de COVID‑19 s’est répercutée sur les processus et les activités de GRE dans la période qui a fait l’objet de notre mission de vérification. Nous avons adapté nos procédures de vérification pour examiner et évaluer les différentes activités et produits de travail mis au point en réaction, le cas échéant. Le lecteur est invité à consulter l’appendice A pour prendre connaissance des critères détaillés de la vérification.

4. Conclusion

Dans le cadre des travaux effectués, nous avons constaté que la Ville a mis en place un programme de GRE étayé par la Politique et le Cadre de la GRE. Sous maints aspects, la Ville est plus avancée, dans l’évolution de sa GRE, que d’autres administrations en Ontario. Au niveau de la municipalité et de la Ville, on a mis en place des processus sains et rigoureux pour permettre de recenser et de gérer les risques les plus importants pour l’organisme et les risques horizontaux pour plusieurs directions générales. Ces processus permettent d’élaborer et d’actualiser l’Examen annuel des risques organisationnels qui est soumis à l’EHD.

Cette mission de vérification a aussi permis de conclure qu’il existe un certain nombre de points à améliorer, sur lesquels il faudrait se pencher pour fortifier les pratiques actuelles dans l’ensemble de la Ville et pour faire évoluer l’ensemble du programme. En règle générale, ces points consistent à éclaircir les fonctions, les attributions et les processus de la Politique et du Cadre, à s’assurer que les exigences de la Politique et du Cadre sont uniformément respectées au niveau des directions générales, et à exercer un encadrement centralisé et une fonction de remise en question pour assurer la qualité et l’uniformité des activités de gestion des risques dans l’ensemble de la Ville. Nous avons fait état, dans une lettre adressée directement à la direction, d’autres points à améliorer dans le cadre du programme de GRE.

5. Constatations et recommandations des vérificateurs

5.i        FONCTIONS ET ATTRIBUTIONS DE LA GRE 

5.i.1   Définition complémentaire des fonctions et des attributions

La Politique définit dans l’ensemble les fonctions et les attributions permettant d’étayer le modèle décentralisé de gestion des risques. Ce modèle reconnaît que « la gestion des risques est une responsabilité partagée à tous les échelons de la Ville »1.

Le Cadre attribue aux DG la responsabilité de la gestion et de l’encadrement des risques dans leur direction générale et décrit expressément dans ses grandes lignes le rôle des groupes des SSA des directions générales, de la direction et de tous les employés relativement à la gestion des risques.

Le Cadre, qui étaye la Politique, n’a pas été mis à jour depuis 2012. Nous avons constaté que le Cadre ne décrit pas dans leurs grandes lignes les fonctions et les attributions précises dans le contexte des processus de gestion des risques au niveau organisationnel et des directions générales. Par exemple, le Cadre ne décrit pas :

  • le rôle de l’EHD dans l’examen et l’approbation des risques organisationnels hiérarchisés et des stratégies de maîtrise des risques;
  • le rôle de la DGSNC dans les processus de gestion des risques organisationnels et horizontaux;
  • les attentes vis‑à‑vis des gestionnaires des directions générales dans l’élaboration de leur registre des risques et de leurs stratégies de maîtrise;
  • les fonctions et les attributions des responsables des risques dans la mise en œuvre des stratégies de maîtrise des risques, dans la surveillance et dans le compte rendu des risques sur l’ensemble de l’année.

Une exigence essentielle d’un programme rigoureux de GRE consiste à instituer un processus cohérent et régulier, qui permet de recenser, d’évaluer et de gérer les risques importants pour l’organisme. Il est donc essentiel que les fonctions et les attributions évoquées ci-dessus soient décrites clairement (qui, quoi, quand, pourquoi et comment) afin d’assurer la cohérence des activités de gestion des risques dans l’ensemble de la Ville et chaque année.

Nous croyons savoir que la direction a des plans pour examiner et mettre à jour la Politique et le Cadre à court terme.

5.i.2      Information du Conseil

Le rôle du Conseil par rapport à la GRE a été établi dans l’approbation de la Politique et du Cadre de la GRE. Conformément à l’approche approuvée par le Conseil en décembre 2013 dans le cadre du rapport sur la Révision de la Politique sur la gestion améliorée des risques (ACS2013-CMR-OCM-0023), le Conseil a connaissance des risques grâce à l’information qui lui est donnée dans les rapports de présentation (en mettant l’accent sur certains projets, enjeux ou thèmes) et, dans certains cas, grâce à des rapports propres aux différentes initiatives. Toutefois, à l’heure actuelle, les membres du Conseil ne sont pas au courant des risques importants auxquels la Ville est exposée et qui sont recensés dans l’Examen des risques organisationnels (globalement, pour avoir une vue d’ensemble des différents risques, de leur notation, de leurs liens de dépendance et du statut des stratégies de maîtrise des risques).

Le Conseil approuve la vision et l’orientation globales de la Ville dans son Plan stratégique, qui fait état d’un certain nombre de priorités. Afin de guider les décisions qu’il adopte couramment, le Conseil doit être au courant des risques importants auxquels la Ville est exposée et qui sont recensés dans le cadre de la GRE, ce qui peut avoir une incidence sur le respect de ses priorités.

5.i.3    Programme de formation sur la GRE

En raison du modèle décentralisé de gestion des risques, il y a des intervenants qui s’acquittent de responsabilités dans la gestion des risques dans chaque direction générale, dont les représentants des SSA, les experts de la question dans les secteurs d’activité, l’équipe de direction des directions générales (EDDG) et les DG. Chacun de ces intervenants doit avoir un référentiel et une notion uniforme du processus de la GRE de la Ville et de son rôle dans ce processus.

La mission de vérification a permis de confirmer que les employés ont accès à un certain nombre de documents et de modules de formation, mis au point pour étayer le Cadre initial. Il n’y a toutefois pas de programme obligatoire de formation dans la gestion des risques qui s’adresse à ceux qui s’acquittent de responsabilités précises dans la gestion des risques afin de s’assurer que tous s’entendent sur les principes de la gestion des risques et sur les attentes de la Ville. En outre, notre mission de vérification n’a pas permis de relever de cas dans lesquels la formation organisée sur la gestion des risques est assurée au niveau des directions générales.

En outre, parce qu’ils n’interviennent pas dans le programme de GRE, les membres du Conseil n’ont pas nécessairement une vue d’ensemble des principes de la gestion des risques et du programme de GRE de la Ville.

Conclusion

La Ville a une politique et un Cadre de GRE qui constituent les éléments essentiels de l’établissement et du maintien d’un programme de GRE qui assure dans l’ensemble de la Ville l’uniformité dans les activités de gestion des risques et l’efficacité dans les décisions fondées sur les risques. Il y a plusieurs secteurs dans lesquels la Politique et le Cadre de la GRE sont mis à jour ou fortifiés, en donnant la formation voulue, pour s’assurer que les fonctions et les attributions sont clairement comprises.

RECOMMANDATION 1 - DÉFINIR CLAIREMENT LES FONCTIONS ET LES ATTRIBUTIONS DANS LA POLITIQUE ET DANS LE CADRE

Dans l’examen et la mise à jour de la Politique et du Cadre, le DG de la DGSNC devrait définir clairement les fonctions et les attributions dans la gestion des risques. Il s’agit entre autres :

  • des fonctions des gestionnaires des directions générales, de la DGSNC et de l’EHD dans les processus annuels et permanents de gestion des risques;
  • de la clarté des attentes vis‑à‑vis des responsables des risques, dont les responsabilités dans la mise en œuvre des stratégies de maîtrise des risques et les comptes rendus à intervalles réguliers sur la situation des activités de maîtrise des risques et l’incidence sur les risques évalués.

RÉPONSE 1 DE LA DIRECTION

La direction est d’accord avec cette recommandation, qu’elle est en train de mettre en œuvre.

La DG de la DGSNC mettra à jour la Politique et le Cadre de la GRE afin de définir clairement les fonctions et les attributions des gestionnaires des directions générales, de la DGSNC, de l’EHD et des autres parties prenantes essentielles dans la gestion des risques. Ces travaux ont déjà été lancés : l’EHD a approuvé, le 21 avril 2022, ses fonctions et attributions à jour dans la gestion des risques.

On ajoutera dans la politique le libellé qui portera expressément sur les attentes à l’endroit des responsables des risques et sur leurs responsabilités dans la mise en œuvre des stratégies de maîtrise des risques, de même que pour rendre compte du statut de ces activités et de leurs incidences sur les risques évalués.

La DGSNC déposera la mise à jour complète au deuxième trimestre de 2022 et communiquera à l’organisation la Politique et le Cadre à jour.


RECOMMANDATION 2 – PORTER À LA CONNAISSANCE DU CONSEIL LES RISQUES ORGANISATIONNELS

De concert avec le directeur municipal et le greffier municipal, le DG de la DGSNC devrait déterminer le niveau d’information sur les risques organisationnels qu’il est recommandé de soumettre au prochain Conseil, en tenant compte du modèle, de l’approche et de la fréquence qu’il convient d’adopter pour permettre aux membres du Conseil de se pencher sur ces risques organisationnels en prenant des décisions stratégiques.

RÉPONSE 2 DE LA DIRECTION

La direction est d’accord avec cette recommandation.

La DG de la DGSNC travaillera de concert avec le directeur municipal et avec le greffier municipal afin de déterminer le format, l’approche et la fréquence qu’il convient d’adopter pour rendre compte au Conseil municipal de l’information sur les risques de la Ville.

La DGSNC entamera ce travail sans tarder et préparera pour étude, d’ici le deuxième trimestre de 2023, une approche et une recommandation pour le nouveau mandat du Conseil municipal.

RECOMMANDATION 3 – FORMATION OBLIGATOIRE SUR LA GESTION DES RISQUES

The GM, ICSD (or his/her delegate) should ensure that a mandatory risk management training program is developed and implemented` (initial and refresher training) for those individuals with specific risk management responsibilities. This training program could leverage the existing training modules and should be tailored to the various stakeholder groups involved in the risk management process.

RÉPONSE 3 DE LA DIRECTION

La direction est d’accord avec cette recommandation.

La DG de la DGSNC veillera à ce qu’on élabore et mette en œuvre un programme obligatoire de formation initiale et de réactualisation dans la gestion des risques à l’intention des employés qui ont des responsabilités particulières dans la gestion des risques.

Cette formation s’inspirera des documents de formation existants sur la gestion des risques et répondra aux besoins en apprentissage des principaux groupes d’intervenants en cause dans le processus de gestion des risques.

La formation se déroulera d’ici au quatrième trimestre de 2022.

RECOMMANDATION 4 – SENSIBILISATION À LA GESTION DES RISQUES POUR LE CONSEIL

Il faudrait élaborer et présenter au prochain Conseil un programme de sensibilisation et de formation dans la gestion des risques, conçu expressément pour répondre aux besoins du Conseil.

RÉPONSE 4 DU BVG

Lorsque la direction aura mis à jour le Cadre et la Politique et établi le niveau de l’information à soumettre au Conseil, la vérificatrice générale s’est engagée à prendre la responsabilité d’offrir au prochain Conseil une formation de sensibilisation dans la gestion des risques afin d’aider les membres du Conseil à optimiser le processus de la GRE dans les décisions qu’ils prennent. De concert avec le greffier municipal, la vérificatrice générale déterminera le format et la fréquence les mieux adaptés à cette formation.

5.ii.      PROCESSUS DE GESTION DES RISQUES

5.ii.1      Processus organisationnels

La Ville a mis en œuvre des activités saines et rigoureuses pour gérer les risques; ces activités, qui se déroulent dans l’ensemble de l’administration municipale, comprennent :

  • l’Examen des risques organisationnels, qui est constitué :
    • des évaluations de l’impact et de la probabilité des risques organisationnels;
    • de la désignation des principaux dirigeants et responsables des risques;
    • du dépistage des tendances dans l’évolution des risques (en hausse, stables ou en baisse);
    • de la définition des mesures et des stratégies de maîtrise planifiées, ainsi que des dates cibles pour l’achèvement des travaux;
    • des comptes rendus sur les progrès accomplis dans chaque stratégie de maîtrise des risques à l’intention de l’EHD;
  • un compte rendu semestriel de l’Examen des risques organisationnels présenté à l’EHD;
  • dans le cadre d’une collaboration qui s’étend à l’ensemble de la Ville, les risques horizontaux (qui se répercutent sur plusieurs directions générales sans toutefois répondre aux critères de hiérarchisation dans le registre des risques organisationnels) sont recensés et gérés. Ce travail se déroule dans le cadre d’un exercice annuel qui réunit les responsables des risques dans les directions générales afin d’examiner et d’analyser les risques, de recenser les thèmes et les liens de dépendance communs et de relever les occasions de maîtriser collectivement les risques. Cet exercice permet aussi de recenser les nouveaux risques organisationnels à porter à l’attention de l’EHD pour étude et directives.

5.ii.2      Processus des directions générales

Pour étayer les activités de gestion des risques des directions générales, la DGSNC offre les outils et intervient dans une fonction de coordination afin de permettre de répondre aux attentes exposées dans la Politique et le Cadre. On n’a pas attribué de rôle spécifique d’encadrement pour les activités des directions générales.

Dans le cadre de la portée de notre mission de vérification, nous nous sommes penchés sur les activités de trois (3) directions générales dans les trois (3) dernières années. Nous avons pu confirmer que les directions générales produisent actuellement des registres annuels des risques. Cet exercice annuel répond largement aux attentes exprimées dans le Cadre, puisqu’il oblige les directions générales à « recenser entre trois et cinq risques majeurs, au minimum, une fois tous les deux ans ».

Toutefois, les approches adoptées dans l’ensemble des directions générales par rapport à leurs responsabilités dans la gestion des risques manquent de cohésion, ce qui pourrait avoir pour effet de ne pas produire les résultats attendus dans le Cadre. En voici des exemples :

  • des stratégies de maîtrise des risques sont reprises sur plusieurs années sans qu’on puisse justifier qu’elles ont été mises en œuvre ou qu’elles ont permis de modifier l’évaluation des risques résiduels;
  • aucune stratégie de maîtrise des risques n’est prévue pour certains risques;
  • pour la plupart des stratégies de maîtrise des risques, il n’y a pas de dates d’achèvement planifiées pour permettre d’évaluer les progrès accomplis durant l’année;
  • on ne fait pas de suivi des stratégies de maîtrise des risques durant l’année;
  • on n’attribue pas aux responsables les risques pour mettre en œuvre et encadrer les stratégies de maîtrise convenues;
  • on n’examine pas en bonne et due forme les progrès accomplis dans la maîtrise des risques durant l’année afin d’évaluer l’impact sur les risques relevés.

Comme l’indique l’observation 1.1, le Cadre comprend des détails limités sur les attentes se rapportant à l’élaboration, à la surveillance et aux comptes rendus des stratégies de maîtrise des risques. En outre, pour les directions générales qui ont fait l’objet de notre mission de vérification, aucune n’avait de procédures ni de lignes de conduite consignées par écrit pour la gestion des risques afin de décrire les attentes du DG en ce qui concerne les moyens de respecter les normes exposées dans la Politique et dans le Cadre.

Sans fonction centralisée pour exercer une fonction de surveillance et de remise en question, il se pourrait qu’on ne puisse pas recenser, évaluer comme il se doit ni maîtriser et gérer efficacement les risques importants pour les directions générales.

5.ii.3     Risques de fraude

Le risque de fraude et de corruption est un risque inhérent et important pour la plupart des organismes, dont la Ville d’Ottawa. La fraude peut avoir de nombreuses conséquences négatives, dont les pertes financières, les incidences sur le moral des employés, la perte de confiance du public et la réduction de l’efficience ou de l’efficacité des opérations. Bien qu’il ne soit probablement pas possible ni économiquement viable d’éliminer complètement tous les risques de fraude, il existe des approches proactives que l’on peut adopter pour assurer la gestion des risques de fraude. Dans bien des cas, ces approches ont été adoptées par la Ville, soit essentiellement par la cheffe des finances (CF) et trésorière municipale et par la Direction générale des services des finances (DGSF).

À l’heure actuelle, le Cadre précise que la fraude est l’un des nombreux risques dont il faut tenir compte dans les processus opérationnels; toutefois, dans le Cadre, le risque de fraude ne constitue pas une catégorie spécifique de risques, ce qui permettrait de s’assurer que l’on mène, dans les activités de gestion des risques, des discussions liées à la fraude. En outre, en établissant que l’on s’attend à mener une évaluation des risques de fraude dans l’ensemble de la Ville, on confirmerait qu’on a une vue d’ensemble des risques de fraude auxquels la Ville est potentiellement exposée.

Conclusion

À l’exception d’une pause dans les activités de GRE en raison de la pandémie (au cours de laquelle des activités de gestion des risques ont été exercées en s’en remettant à des structures liées à la pandémie), la Ville s’est consacrée à un exercice annuel d’examen des registres des risques, au niveau organisationnel comme au niveau des directions générales. Le processus en vigueur au niveau de la Ville consiste, pour l’EHD, à exercer un encadrement, et le recensement des risques horizontaux fonctionne bien.

Au niveau des directions générales, les activités ne sont pas uniformément exercées. En outre, nous avons recensé, dans les activités des directions générales, différentes lacunes; par exemple, on n’a pas désigné les responsables des risques et on ne surveille pas les risques importants ni les progrès accomplis sur l’ensemble de l’année dans les stratégies de maîtrise des risques correspondantes. Ces lacunes laissent entendre qu’il faut adopter une certaine forme d’encadrement centralisé pour veiller à respecter une norme minimum dans l’ensemble des directions générales.

RECOMMANDATION 5 – INSTITUER UN ENCADREMENT CENTRALISÉ.

Le directeur municipal devrait envisager d’attribuer des pouvoirs et des responsabilités supplémentaires, dans la GRE, à la DGSNC ou à un autre groupe centralisé (par exemple le Groupe de la transformation des services) en tant que responsable chargé de s’assurer que toutes les directions générales respectent une norme minimum et afin de veiller à la cohésion des activités prévues de gestion des risques définies dans la Politique et le Cadre. Il faudrait entre autres :

  • instituer une fonction dans l’encadrement des activités de gestion des risques des directions générales afin de s’assurer que ces activités produisent les résultats voulus selon la Politique et le Cadre;
  • prévoir une fonction indépendante de remise en question des résultats de la gestion des risques des directions générales, compte tenu de leur visibilité et de leur point de vue dans l’ensemble de la Ville.

RÉPONSE 5 DE LA DIRECTION

La direction est d’accord avec cette recommandation.

Le directeur municipal travaillera de concert avec la DG de la DGSNC pour se pencher sur la question de l’attribution de pouvoirs et de responsabilités supplémentaires dans la GRE à un groupe spécialisé comme responsable afin de conforter les activités de surveillance et de gestion des risques des directions générales pour veiller à ce que toutes les directions générales respectent une norme minimum et assurent l’uniformité des activités de gestion des risques selon les modalités exposées dans la Politique et dans le Cadre.

RECOMMANDATION 6 – INTÉGRATION DES RISQUES DE FRAUDE DANS LA GRE

De concert avec la CF et trésorière municipale, le DG de la DGSNC devrait établir les attentes, dans le Cadre, pour l’intégration des risques de fraude dans la GRE. En outre, il faudrait mener une évaluation des risques de fraude dans l’ensemble de l’entreprise.

RÉPONSE 6 DE LA DIRECTION

La direction est d’accord avec cette recommandation.

La DG de la DGSNC établira, de concert avec la cheffe des finances et trésorière, les attentes dans le Cadre de GRE pour l’intégration des risques de fraude dans les processus et les pratiques de GRE.

Dans le cycle annuel de gestion des risques de 2023 (à partir du quatrième trimestre de 2022), les directions générales seront invitées à revoir les risques de fraude dans leurs processus opérationnels et à dépister les risques élevés, moyens et faibles. Ce travail sera achevé au deuxième trimestre de 2023. Lorsque ce travail sera terminé, la DG de la DGSNC déterminera, de concert avec la cheffe des finances et trésorière, l’approche à adopter pour une évaluation des risques de fraude dans l’ensemble de l’entreprise.

On élaborera, d’ici au quatrième trimestre de 2023, un plan de mise en œuvre pour une évaluation des risques de fraude dans l’ensemble de l’entreprise.

5.iii.     APPETENCE ET TOLERANCE AU RISQUE

5.iii.1     Niveaux d’appétence et de tolérance aux risques

L’appétence au risque s’entend « de l’importance et de la nature des risques que l’organisme est prêt à prendre ou à courir »2. La tolérance aux risques (qui est complémentaire de l’appétence au risque) s’entend de la « préparation de l’organisme à supporter le risque, après l’avoir traité, afin d’atteindre ces objectifs »3.

Le Cadre de la GRE indique que le Comité exécutif « définit la tolérance aux risques de la Ville » et que les membres du Comité de la haute direction « gèrent des risques dans leur sphère de responsabilité, tout en respectant la capacité de la Ville d’assumer les risques ».

Même si la Politique et le Cadre établissent les attentes, on n’a pas établi pour la Ville, ni pour les directions générales de niveaux d’appétence et de tolérance aux risques pour guider l’élaboration des stratégies de maîtrise à adopter.

À l’heure actuelle, les niveaux d’appétence et de tolérance aux risques sont par inhérence déterminés et communiqués quand l’EHD et l’EDDG examinent et approuvent les évaluations des risques et les plans de maîtrise liés. Par exemple, l’EHD approuve un plan de maîtrise des risques qui correspond à ses attentes vis‑à‑vis la tolérance aux risques de la Ville.

Il est important d’établir les niveaux d’appétence et de tolérance aux risques afin de s’assurer que l’on s’entend sur les risques admissibles et inadmissibles auxquels la Ville est exposée. Si on n’exprime pas les niveaux d’appétence et de tolérance aux risques, chaque DG, gestionnaire et employé appliquent leurs propres normes afin de déterminer si un risque est important et admissible pour la Ville ou pour leur direction générale.

Définir formellement les niveaux d’appétence et de tolérance aux risques permettrait à la Ville de se pencher sur les cas dans lesquels les risques se situent en deçà des niveaux de tolérance spécifiés ou dans lesquels les perspectives l’emportent sur les risques.

Conclusion

Si la Politique et le Cadre de la GRE confirment qu’il est essentiel et important de déterminer et de faire connaître l’appétence et la tolérance aux risques dans le cadre d’un programme efficace de GRE, ces questions n’ont pas été établies en bonne et due forme pour la Ville.

RECOMMANDATION 7 – ÉTABLIR LES NIVEAUX DE TOLÉRANCE AUX RISQUES

Avec le concours du DG de la DGSNC, le directeur municipal devrait lancer un exercice destiné à élaborer les niveaux d’appétence et de tolérance aux risques de la Ville et les soumettre au Conseil pour approbation afin de s’assurer que les ressources voulues sont consacrées à la maîtrise des risques dans les cas nécessaires et dans les cas où il est avantageux de le faire. Les Directions générales devraient s’inspirer des niveaux de tolérance et d’appétence aux risques établis afin de déterminer les affectations les plus judicieuses de leurs ressources dans le cadre des stratégies de maîtrise des risques.

RÉPONSE 7 DE LA DIRECTION

La direction est d’accord avec cette recommandation.

À la réunion de l’EHD le 21 avril 2022, le directeur municipal et l’EHD ont approuvé, avec l’appui de la DG de la DGSNC, le lancement d’un exercice destiné à élaborer des déclarations sur l’appétence aux risques et les niveaux de tolérance aux risques pour la Ville, de même que pour les soumettre à l’approbation du Conseil municipal afin de veiller à y consacrer les ressources voulues pour maîtriser les risques dans les cas nécessaires et lorsqu’il est dans l’intérêt de la Ville de le faire.

La planification de cet exercice se déroule au moment d’écrire ces lignes; l’exercice devrait commencer au troisième trimestre de 2022 et être achevé aux environs du deuxième trimestre de 2023

6.  Appendice 1 – À propos de cette mission de vérification

Objectifs et critères de la mission de vérification

L’objectif de cette mission de vérification consistait à donner une assurance raisonnable sur le programme de GRE de la Ville. Plus précisément, cette mission a permis de savoir si :

  • l’approche adoptée par la Ville dans la GRE permet de prendre des décisions efficaces en fonction des risques;
  • les processus et les pratiques de GRE sont établis, concordent avec le Cadre et la Politique et sont appliqués uniformément dans l’ensemble des directions générales;
  • la Ville a une culture rigoureuse dans la gestion des risques, qui encourage à recenser et à gérer les risques en permanence.

Les critères énumérés ci-après ont été mis au point d’après le Cadre et la Politique de la GRE de la Ville et l’idée que nous nous sommes fait des pratiques actuelles de gestion des risques.

Gouvernance et encadrement

1.1 La Ville a établi une politique et un cadre de GRE qui définissent clairement les fonctions et les attributions se rapportant à toutes les activités exercées dans le recensement systématique, l’évaluation, la maîtrise et la gestion des risques selon les niveaux de tolérance de la Ville.
1.2 L’équipe de la haute direction (EHD) intervient en assurant l’encadrement des risques organisationnels et des risques des directions générales, notamment en surveillant en permanence les risques essentiels.
1.3 La Ville a une culture de sensibilisation aux risques dans laquelle les activités de gestion des risques sont promues et étayées à tous les niveaux de la direction et dans laquelle la formation régulière sur la gestion des risques est assurée pour veiller à connaître les responsabilités et les processus dans la gestion des risques.

Mise en œuvre des processus de GRE

2.1 Il existe un processus efficace, cohérent et systématique pour étayer l’élaboration de l’Examen des risques organisationnels; ce processus est optimisé dans la planification stratégique et concorde avec le Cadre et la Politique.
2.2 Il existe un processus efficace, cohérent et systématique pour étayer l’élaboration de l’Examen des risques organisationnels; ce processus est optimisé dans la planification stratégique et concorde avec le Cadre et la Politique.
2.3 On a mis en place un processus efficace pour gérer les risques selon les niveaux de tolérance aux risques de la Ville et pour porter à la connaissance des responsables compétents dans la hiérarchie les risques qui pourraient dépasser ou frôler les limites de tolérance aux risques.
2.4 Les activités centralisées et l’encadrement permettent de s’assurer que les activités de gestion des risques exercées dans les directions générales le sont uniformément et concordent avec les attentes dans l’ensemble des directions générales de la Ville.
2.5 Tous les employés gèrent et maîtrisent les risques dans leur domaine de compétence et portent les risques importants à la connaissance des supérieurs hiérarchiques.

Déclaration, surveillance et décisions dans la gestion des risques

3.1 Les pratiques actuelles apportent, au Conseil et à l’EHD, de l’information systématique, suffisante et ponctuelle relativement aux risques importants qui pourraient avoir des incidences sur la réalisation des priorités stratégiques, afin de permettre de gérer les risques et de prendre des décisions en fonction des risques.
3.2 Les stratégies de maîtrise des risques importants sont recommandées et approuvées et sont surveillées du point de vue de la mise en œuvre et de l’efficacité.

Portée

Cette mission de vérification a été consacrée aux activités exercées dans la gestion des risques au niveau organisationnel et des directions générales de la Ville par les employés et les membres du Conseil. Cette mission a priorisé :

  • la gouvernance et l’encadrement;
  • la mise en œuvre des processus de GRE;
  • la surveillance et le compte rendu des risques et les décisions afférentes;
  • la culture de gestion des risques (en mettant l’accent sur la connaissance des processus, sur les responsabilités, sur les attitudes, sur la formation et sur le soutien apporté par la haute direction).

Cette mission a porté sur la période comprise entre le 1er janvier 2019 et le 31 décembre 2021.

Les vérificateurs n’ont pas évalué les activités de gestion des risques propres aux projets ou aux programmes. En outre, il était pour notre part entendu que la pandémie de COVID‑19 s’est répercutée sur les processus et les activités de GRE dans la période qui a fait l’objet de notre mission de vérification. Nous avons adapté nos procédures de vérification pour examiner et évaluer les différentes activités et produits de travail mis au point en réaction, le cas échéant.

Approche et méthodologie vérificationnelles

Le personnel de cette mission de vérification a appliqué les procédures suivantes pour mener cette vérification :

  • examen et évaluation des politiques, des procédures, des lignes de conduite et des rapports pertinents se rapportant à la GRE;
  • entrevues et explications avec les principaux membres du personnel appelés à intervenir dans les processus de la gestion des risques (au niveau organisationnel et des directions générales);
  • examens détaillés et sondages des processus;
  • entrevues avec des municipalités paires ou comparables (analyse comparative);
  • autres travaux d’analyse et de sondage dans les cas jugés nécessaires.

 

Notes de bas de page :

1Cadre de la gestion améliorée des risques (GAR), Service des affaires municipales, 25/09/2011.

2 Guide ISO 73:2009 – Management du risque – Vocabulaire, Organisation internationale de normalisation.

3 Guide ISO 73:2009 – Management du risque – Vocabulaire, Organisation internationale de normalisation.

Ce site internet utilise des cookies afin d'améliorer la facilité d’utilisation et afin de vous fournir une expérience plus personnalisée. En utilisant ce site internet, vous acceptez notre utilisation des cookies conformément à notre Politique de confidentialité.