Politique de gestion des risques



Documents pareils
F150. Gestion du risque pour professionnels des finances MANUEL DU PARTICIPANT. Ébauche 18 février 2013 Version 6

LIGNE DIRECTRICE SUR LA CONFORMITÉ

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Lignes directrices à l intention des praticiens

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Note de mise en œuvre

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

CADRE DE TRAVAIL. Mai Autorité des marchés financiers - Mai 2008 Page 1

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

Guide de travail pour l auto-évaluation:

Le management des risques de l entreprise Cadre de Référence. Synthèse

Aperçu des 37 principes directeurs

Norme ISA 260, Communication avec les responsables de la gouvernance

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

Sécurité de l information

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

PROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD)

Politique de gestion documentaire

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

Conseil de recherches en sciences humaines du Canada

Politique de sécurité de l information

Présenté par l Organisme d autoréglementation du courtage immobilier du Québec (OACIQ)

RECOMMANDATIONS COMMISSION

CADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL

Politique de sécurité de l actif informationnel

La classification des actifs informationnels au Mouvement Desjardins

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Préambule. Claude Sicard Vice-président au partenariat et à l expertise-conseil 2 LE CADRE D INTERVENTION EN PRÉVENTION-INSPECTION

Règlement sur l utilisation et la gestion des actifs informationnels

Modernisation et gestion de portefeuilles d applications bancaires

Guide en gestion de la continuité des opérations Mission «Activités économiques»

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

Vers l amélioration continue

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

Document technique Outil d évaluation des risques et orientation

LIGNE DIRECTRICE SUR LA GESTION DU RISQUE DE TAUX D INTÉRÊT

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Audit du cadre de gestion du programme de développement de technologies d exploration avancée ( )

Annexe A de la norme 110

Vérification du projet de développement d un système électronique commun de gestion de l information (SÉCGI)

curité des TI : Comment accroître votre niveau de curité

Politique de gestion documentaire

L impact d un incident de sécurité pour le citoyen et l entreprise

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Charte de Qualité sur l assurance vie

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

INTRODUCTION. Cadre d évaluation de la qualité des données (CEQD) (juillet 2003)

NORME 5 NORMES ET PROCÉDURE D AUTO-ACCRÉDITATION

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Charte d audit du groupe Dexia

OFFICE DES NATIONS UNIES CONTRE LA DROGUE ET LE CRIME Vienne

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

Banque européenne d investissement. Charte de l Audit interne

DONS, D HOSPITALITÉ. Lignes directrices 1. mai 2012 COMMISSAIRE À L ÉTHIQUE ET À LA DÉONTOLOGIE

COMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

MANUEL DE MÉTHODOLOGIE GÉNÉRALE

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

Plan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011

Mise en place et consolidation de la fonction de vérification interne dans les ministères et organismes Guide

C H A P I T R E. Contrôles généraux des technologies de l information

Le contrôle de la qualité des services

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Système de management H.A.C.C.P.

Opérations entre apparentés

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Comité de la réglementation des assurance de l AAI Le rôle de l actuaire dans le contrôle prudentiel des sociétés d assurances

APERÇU DES OBLIGATIONS

BANQUE CENTRALE EUROPÉENNE

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

COMITÉ DE COMMUNICATION DE L AOMF FICHE-CONSEIL N 3

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

Vérification de la prestation des services ministériels à l AC du MAECI RAPPORT FINAL

CIRCULAIRE AUX ETABLISSEMENTS DE CREDIT N Objet : Renforcement des règles de bonne gouvernance dans les établissements de crédit.

PROJET LIGNE DIRECTRICE SUR L OCTROI DE PRÊTS HYPOTHÉCAIRES RÉSIDENTIELS

Mécanisme d examen de l application de la Convention des Nations Unies contre la corruption Documents de base

Volume 2 Guide d ouverture et de gestion de compte

CADRE CONCEPTUEL INTERNATIONAL POUR LES MISSIONS D ASSURANCE

Norme ISA 510, Audit initial Soldes d ouverture

1. La sécurité applicative

Comité de Bâle sur le contrôle bancaire. Charte

COMMUNIQUÉ. Lignes directrices sur la taille des fonds d assurance-dépôts

Vérification des procédures en fin d exercice

RAPPORT DE 2010 SUR L ATTRIBUTION DE BÉNÉFICES AUX ÉTABLISSEMENTS STABLES

N o : D-1A Version initiale : décembre 1997 Révision : juillet 2010

Guide de la pratique sur les réserves aux traités 2011

Les Principes et les Bonnes Pratiques Relatifs à la Sensibilisation et l Education Financières

IFAC Board. Prise de position définitive. Mars Norme internationale d audit (ISA)

Rapport standard analyse des risques/stratégie d audit. Sommaire

Transcription:

Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement, la gestion des risques se définit comme «un processus élaboré et mis en place par la direction et le personnel de l organisation dans l optique de déterminer les risques auxquels elle fait face et de gérer ces risques à l intérieur de sa zone de tolérance afin de fournir une assurance raisonnable quant à l atteinte de ses objectifs stratégiques 1». La présente politique décrit les lignes directrices et les principaux éléments conceptuels relativement à la gestion des risques chez le Vérificateur général du Québec. Énoncé de la politique Cette politique vise à : déterminer les risques menaçant la réputation et la crédibilité de l institution ainsi que sa capacité à remplir son rôle auprès des parlementaires; évaluer la nature, la portée, l impact et la probabilité d occurrence de ces risques; mettre en place les mesures d atténuation nécessaires afin de réduire ces risques à un niveau acceptable. Définitions et approche générale Détermination des risques Le risque est «la possibilité qu un évènement survienne et affecte négativement l atteinte des objectifs de l organisation 2». La détermination des risques permet de décrire de tels évènements potentiels, d en trouver la ou les causes ainsi que de prévoir les conséquences à court et moyen terme s ils se matérialisent. L exercice doit être 1 Source : COSO Enterprise Risk Management Integrated Framework, septembre 2004. 2 Nous avons adapté la définition proposée dans la source précédente. - 1 -

répété tous les trois ans afin de maintenir la pertinence et l intégrité du processus de gestion des risques. Les risques auxquels le Vérificateur général est exposé sont catégorisés selon leur impact sur la crédibilité, la réputation et la capacité de l organisation. De plus, ils peuvent interagir et ainsi entraîner une réaction en chaîne multipliant leurs répercussions. Le portrait schématique des risques permet d établir ces liens, de maximiser l effet des mesures d atténuation et de faciliter une saine gestion en la matière. Le processus général de détermination et d évaluation des risques est présenté à l annexe A. Évaluation préliminaire des risques Chaque risque doit être évalué afin de mesurer l impact général que ses conséquences peuvent avoir sur l organisation ainsi que la probabilité qu il se produise, sans tenir compte des mesures d atténuation prévues (on obtient dans ce cas l évaluation du risque inhérent). Le Vérificateur général utilise une échelle à quatre niveaux pour qualifier l impact et la probabilité des éléments recensés : Impact Acceptable Modéré Important Critique Probabilité de l évènement Improbable Possible Probable Quasi certain La définition de ces niveaux est présentée à l annexe B. Cette évaluation permet de «cartographier» les risques et de hiérarchiser les travaux visant à apprécier l efficacité des mesures d atténuation actuelles et, s il y a lieu, de mettre en place de nouvelles mesures plus adéquates et réellement efficientes. Chaque risque est assigné à un «propriétaire», qui est responsable de le gérer afin de le maintenir en deçà du seuil de tolérance de l organisation. Il doit être assigné à un seul propriétaire, qui peut néanmoins se voir confier plusieurs risques. Maîtrise des risques Les mesures d atténuation des risques sont composées des différentes politiques, directives et procédures mises en œuvre dans le cadre du fonctionnement normal de l organisation. Chacune d entre elles peut toucher un risque en particulier ou se rapporter à plusieurs éléments. Elle est assignée à un «responsable désigné», qui doit s assurer de son application et évaluer son efficacité. - 2 -

L efficacité des mesures d atténuation et le degré de maîtrise des risques y afférents doivent être évalués sur un horizon de trois ans. À cet effet, l information recueillie est analysée en vue de se prononcer sur le degré de maîtrise de chaque risque. Cette évaluation indique si le niveau de risque résiduel (celui que perdure en tenant compte de l efficacité des mesures d atténuation) est maintenu à un niveau qui se situe en deçà du seuil de tolérance fixé à l interne. Elle fait également appel à une échelle à quatre niveaux : Maîtrise Adéquate : Tolérable : Insuffisante : Nulle : Les mesures existent et sont efficaces. Le risque résiduel est acceptable. Les mesures existent, mais elles ne sont pas entièrement efficaces (par exemple, elles ne sont pas appliquées de manière systématique). Le risque résiduel est toutefois jugé tolérable. Les mesures existent, mais elles ne sont pas assez efficaces ou encore elles sont en implantation. Le risque résiduel est jugé trop élevé. Les mesures n existent pas ou celles qui existent présentent des lacunes majeures. Le risque résiduel est important, voire identique au risque inhérent (soit celui déterminé sans considérer les mesures d atténuation), et il est jugé trop élevé. Les correctifs nécessaires doivent être élaborés et mis en place lorsque l évaluation conduit à la conclusion que la maîtrise du risque est insuffisante ou nulle. L objectif est alors de ramener le risque résiduel à un niveau acceptable. Globalement, les risques recensés, leur évaluation préliminaire et les mesures d atténuation prises à leur égard constituent l univers de risques du Vérificateur général en la matière. Rôles et responsabilités La gestion des risques implique plusieurs intervenants appartenant à tous les secteurs de l organisation. Chaque intervenant joue un rôle particulier et assume les responsabilités qui lui sont propres. Ces rôles et responsabilités étant interdépendants, ils doivent s exercer en concertation afin d assurer la saine gestion des risques auxquels le Vérificateur général est exposé. - 3 -

1. Vérificateur général et comité de gestion Le vérificateur général a l ultime responsabilité de la gestion et de l évaluation des risques qui menacent l organisation. Il est secondé à ce propos par le comité de gestion, qui constitue la principale instance décisionnelle et le groupe de discussion privilégié pour traiter des problèmes concernés. Les principales responsabilités du vérificateur général et du comité de gestion sont les suivantes : approuver la politique de gestion des risques; déterminer, pour chacun des risques, le seuil de tolérance de l institution; tenir à jour le recensement des risques, évaluer l impact et la probabilité de ceux-ci ainsi que les assigner aux gestionnaires responsables, considérés comme leurs propriétaires; approuver les mesures d atténuation proposées; procéder tous les trois ans à une nouvelle évaluation du risque global. 2. Propriétaire de risque Le propriétaire d un risque est tenu de le gérer. Lorsqu il s agit d un comité ou d un groupe de travail, le président en est d office le propriétaire. Voici ses principales responsabilités : déterminer les mesures d atténuation applicables à chaque risque et mettre à jour la documentation visée (fiches); assigner chaque mesure à un membre de l organisation, qui devient le «responsable désigné» de celle-ci avec l accord de son supérieur immédiat; conclure sur le niveau de maîtrise du ou des risque dont il est responsable. 3. Responsable désigné d une mesure d atténuation Le responsable désigné doit veiller à la conception, à la mise en place et au fonctionnement adéquat de la ou des mesures d atténuation dont il a la charge. Lorsqu il s agit d un comité ou d un groupe de travail, le président en est d office le responsable désigné. Celui-ci doit : évaluer chaque année l efficacité d un certain nombre de ces mesures; le choix des éléments, qui est laissé à sa discrétion, doit être approuvé par le propriétaire du risque; - 4 -

évaluer tous les trois ans l efficacité de l ensemble des mesures d atténuation qui lui ont été assignées; cette autoévaluation doit être appuyée par une documentation suffisante afin de permettre une vérification de la démarche et des résultats obtenus par un tiers; mettre au point et apporter les correctifs nécessaires lorsque l efficacité des mesures d atténuation est insuffisante pour réduire le risque à un niveau acceptable. 4. Coordonnateur de la gestion des risques Le coordonnateur de la gestion des risques est le gestionnaire responsable de l application du processus chapeautant les activités visées. Dans ce contexte, il doit préserver son indépendance par rapport à l évaluation des risques effectuée par l organisation. Ses principales responsabilités sont de : concevoir les procédures opérationnelles assurant la mise en place et le fonctionnement du processus de gestion des risques, en conformité avec la présente politique; développer et faire connaître les outils nécessaires à la mise en œuvre et au contrôle du processus de gestion des risques; conseiller les propriétaires de risques et les responsables désignés des mesures d atténuation en ce qui a trait au processus de gestion des risques; compiler et schématiser les risques signalés par les différents intervenants aux fins de révision et d évaluation par le comité de gestion; analyser les résultats des autoévaluations concernant l efficacité des mesures d atténuation afin d établir le risque global de l organisation; le cas échéant, assurer le suivi du plan d action quant aux nouvelles mesures d atténuation à prendre à la lumière des évaluations; déposer annuellement au comité de gestion un rapport sur la gestion des risques en vue de la révision du processus en cause. 5. Groupes de travail Le Groupe de travail en attestation financière (GTAF) et le Groupe de travail en optimisation des ressources (GTOR) sont les groupes de discussion privilégiés et les instances décisionnelles désignées pour ce qui est des questions touchant de plus près leur champ d expertise respectif. Ils sont des acteurs particulièrement importants à l égard des risques relatifs à la méthodologie et à la gestion des missions de vérification. Ils sont chargés de deux responsabilités principales : colliger et analyser les informations provenant de diverses sources; - 5 -

circonscrire et catégoriser les risques à la lumière de ces informations. Ils peuvent également être appelés à agir à titre de propriétaires de risques ou de responsables désignés de mesures d atténuation. En pareils cas, ils assument les responsabilités associées à ces rôles. 6. Autres intervenants a) Direction des services-conseils en attestation financière (DSCAF), Direction des services-conseils en optimisation des ressources (DSCOR) et Affaires juridiques Les unités administratives fournissant les services-conseils assurent le soutien direct aux équipes de vérification tout en favorisant la qualité et l efficience des travaux. Elles exercent également une vigie sur la normalisation, la réglementation et la législation concernant les diverses missions. À ce titre, elles occupent une place très importante dans le processus de gestion des risques. La responsabilité première de ces intervenants est de porter à l attention des groupes de travail toute information ou tout évènement dont ils prennent connaissance au cours de leurs activités en matière d encadrement des vérifications (conseil, révision a posteriori, etc.) ou de vigie et qui peut représenter un risque pour l organisation. b) Direction de l administration (DA) et service de la reddition de comptes (RC) et Direction de la gestion et de la vérification informatiques (DGVI) Ces deux directions regroupent les multiples fonctions permettant la réalisation des travaux au quotidien. Elles sont ainsi à la base de la gestion des risques plus opérationnels, étant placées au cœur même des activités courantes et pouvant dès lors les situer dans une perspective globale. Leurs principales responsabilités sont les suivantes : colliger et analyser les informations provenant de leurs unités administratives; circonscrire et catégoriser les risques à la lumière de ces informations. Elles peuvent également être appelées à agir à titre de propriétaires de risques ou de responsables désignées de mesures d atténuation. En pareils cas, elles assument les responsabilités associées à ces rôles. c) Gestionnaires et autres employés La gestion efficace des risques doit être une préoccupation partagée par l ensemble du personnel. De ce fait, il faut que les employés, notamment les cadres et les professionnels, relèvent et notifient à qui de droit (groupes de travail, gestionnaires responsables, etc.) toute information ou tout évènement qui peut représenter un risque pour l organisation. - 6 -

d) Vérificateur interne Le vérificateur interne a le pouvoir de vérifier que l autoévaluation de la maîtrise des risques, réalisée par les responsables désignés, est adéquate et qu elle favorise le maintien ou la prise de mesures d atténuation efficaces. La nature, la portée et la fréquence de cette vérification sont laissées à la discrétion du vérificateur interne. Principaux risques dont doit tenir compte le Vérificateur général Risques pouvant mettre en cause notre crédibilité Manque d indépendance Impossibilité de répondre aux besoins des parlementaires Non-respect de la Loi sur le vérificateur général Analyse inadéquate des sujets de VOR Opinion erronée sur la fidélité des états financiers Sélection inappropriée des sujets de VOR Absence de valeur ajoutée pour ce qui est de l amélioration de la gestion des entités du secteur public Risques pouvant mettre en doute notre réputation Fuite d informations confidentielles Action non conforme aux directives gouvernementales ou non éthique Communication déficiente avec les médias Communication insuffisante avec les entités vérifiées Risques pouvant influencer notre capacité organisationnelle Pénurie de personnel en vérification financière Pénurie de personnel en vérification de l optimisation des ressources Manque de personnel compétent - 7 -

Insuffisance de ressources financières ou technologiques Baisse de motivation au travail de la part du personnel Pénurie de personnel en soutien administratif et informatique Atteinte à la disponibilité et l'intégrité des systèmes d'information Gestion non efficiente des ressources Application La présente politique s'applique à l ensemble des activités et du personnel du Vérificateur général du Québec. Mise à jour : Juillet 2011 Approuvée par le comité de gestion : 29 janvier 2009-8 -

Annexe A Processus de gestion des risques Ensemble du personnel Coordonnateur de la gestion des risques Propriétaires de risques Responsables désignés de mesures d'atténuation Vérificateur interne Comité de gestion Identifier les risques 1. Signalisation et classification préliminaire 2. Recensement et schématisation 3. Évaluation des risques (impact et probabilité) et désignation des propriétaires 4. Choix des mesures d'atténuation* et des responsables désignés Documentation 5. Autoévaluation des mesures d'atténuation 6. Conclusion relative à la maîtrise des risques Vérification des autoévaluations 7. Recensement et schématisation 8. Révision et approbation concernant l' évaluation du risque global * Les mesures choisies devront être approuvées par le comité de gestion. - 9 -

Annexe B Évaluation de l impact et de la probabilité Impact Niveau Acceptable : Modéré : Important : Définition Les conséquences sont considérées comme tolérables à moyen terme (pas plus de trois ans). Les conséquences nuisent à la réalisation de la mission à moyen terme (pas plus de trois ans). a) Les conséquences nuisent aux relations avec les parlementaires ou les entités, mais elles ne menacent pas l existence de l organisation. b) Les conséquences nuisent à la réalisation de la mission à court terme (la prochaine année). Critique : Les conséquences peuvent entacher de manière significative la réputation, la crédibilité ou la capacité de l organisation. Probabilité de l évènement Niveau Improbable : Définition a) Les conséquences se réfèrent à un évènement fortuit, pratiquement impossible à prévoir (par exemple, la perte des locaux à cause d un incendie). b) La matérialisation du risque dépend de la conjugaison de plusieurs évènements, repose sur un scénario comportant une longue série d hypothèses, etc. Possible : Probable : Rien ne favorise la matérialisation du risque, mais il est inhérent aux activités de l organisation (par exemple, la perte d indépendance ou la formulation d une opinion erronée). a) Les «conditions favorables» à la matérialisation du risque sont en place (par exemple, difficultés en matière de dotation du personnel). b) Le risque s est matérialisé à quelques reprises au cours des dernières années. Quasi certain : La matérialisation du risque est quasi certaine sur un horizon de trois ans. - 10 -

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back