F150 Gestion du risque pour professionnels des finances MANUEL DU PARTICIPANT Ébauche 18 février 2013 Version 6
École de la fonction publique du Canada (2013) École de la fonction publique du Canada http://www.monecole.gc.ca/ 2
TABLE DES MATIÈRES AU SUJET DE CE COURS... 5 1.0 Contexte et objectif... 5 2.0 Objectifs d apprentissage... 5 3.0 Étude de cas... 6 4.0 Références... 7 5.0 Horaire du cours... 9 6.0 Liens avec d autres cours... 9 SÉANCE 1 CONTEXTE ENTOURANT LA GESTION DU RISQUE FINANCIER... 10 Objectifs... 10 1.0 Principes et importance de la gestion du risque... 10 2.0 Rôles du professionnel des finances par rapport à la gestion du risque... 12 3.0 Rôle des gestionnaires de programme et des spécialistes fonctionnels par rapport à la gestion du risque... 16 4.0 La gestion du risque dans la planification... 18 SÉANCE 2 RISQUES PROPRES À UNE ACTIVITÉ DE GESTION FINANCIÈRE... 24 Objectifs... 24 1.0 ÉTAPE 1 Détermination des risques... 24 2.0 ÉTAPE 2 Évaluation... 34 3.0 ÉTAPE 3 Intervention... 39 4.0 ÉTAPE 4 Communication... 44 5.0 ÉTAPE 5 Surveillance... 45 CLÔTURE... 46 Activité de clôture... 46 DIAPOSITIVES UTILISÉES DANS LE COURS... 49 École de la fonction publique du Canada http://www.monecole.gc.ca/ 3
AU SUJET DE CE COURS Le cours Gestion du risque pour professionnels des finances sera utile aux agents financiers, aux gestionnaires et aux fonctionnaires qui travaillent dans le domaine des finances ou dans un domaine connexe. Le présent cours vise à renforcer les capacités fonctionnelles des agents des finances en ce qui a trait à la gestion du risque et à faciliter la détermination, la communication et l atténuation des risques financiers au sein de l organisation. 1.0 CONTEXTE ET OBJECTIF Le rôle des agents financiers dans la fonction publique fédérale continue d évoluer, tout comme l importance que l on accorde à la gestion du risque, au contrôle interne, à la reddition de comptes et à la nécessité de démontrer l atteinte de résultats lorsqu il y a utilisation des fonds publics. Le développement des capacités des professionnels des finances en matière de gestion du risque est une des principales priorités du gouvernement. Ainsi, le Bureau du contrôleur général (le BCG), qui fait partie du Secrétariat du Conseil du Trésor (le SCT), et l École de la fonction publique du Canada (l École) se sont associés afin d élaborer et de mettre en œuvre, de façon conjointe, une série de cours de gestion du risque destinée à la collectivité de la gestion des finances. Ce cours d une journée développe les notions présentées dans le cours C210, Introduction à la gestion du risque, et porte expressément sur la gestion du risque pour les professionnels des finances. Les participants saisiront mieux la notion de gestion du risque dans le domaine des finances et seront en mesure de déterminer et d évaluer les risques, d intervenir, ainsi que de surveiller les données sur les risques. De plus, il sera question des rôles, des responsabilités et des rapports hiérarchiques dans le domaine des finances et de la communication avec d autres secteurs de l organisation. Enfin, à l aide d une étude de cas et d exercices, les participants apprendront à appliquer le processus de gestion du risque à une activité de gestion financière. 2.0 OBJECTIFS D APPRENTISSAGE Le principal objectif du présent cours est de permettre aux participants de comprendre le processus associé à la gestion du risque pour les professionnels des finances par rapport au Cadre stratégique de gestion du risque du SCT. À la fin de ce cours, les participants seront capables : 1. d expliquer le processus de gestion du risque à appliquer pour analyser les risques ayant des conséquences sur le plan financier; 2. de cerner et d évaluer les risques propres à une activité de gestion financière; 3. d appliquer le processus de gestion du risque aux activités de gestion financière. École de la fonction publique du Canada http://www.monecole.gc.ca/ 5
Objectifs d appr d apprentissage par module Module Contexte entourant la gestion du risque financier Risques propres à une activité de gestion financière Objectifs d apprentissage Expliquer le processus de gestion du risque à appliquer pour analyser les risques ayant des conséquences sur le plan financier. Appliquer le processus de gestion du risque aux activités de gestion financière. Cerner et évaluer les risques propres à une activité de gestion financière. Appliquer le processus de gestion du risque aux activités de gestion financière. 3.0 ÉTUDE DE CAS L étude de cas utilisée dans le cours vise à fournir une base pour permettre aux participants de comprendre le processus de gestion du risque tel qu il s applique aux finances gouvernementales et de mettre en pratique les éléments clés de ce processus. Pour établir un processus de gestion du risque, les ministères doivent suivre l approche en cinq étapes recommandée par le SCT dans son Cadre stratégique de gestion du risque : 1. Détermination des risques 2. Évaluation 3. Intervention 4. Communication 5. Surveillance Si la plupart des agents financiers des ministères ne participent pas aux exercices officiels d évaluation des risques, ils doivent quand même appliquer les pratiques de gestion du risque dans leurs tâches quotidiennes. Nombre d entre eux prennent part à des activités de surveillance pour lesquelles ils doivent être conscients de la possibilité qu un risque se matérialise, qu il s agisse d un risque qui a déjà été recensé ou d un risque nouveau. L étude de cas prépare les participants à appliquer le processus de gestion du risque à des situations et à des événements qui peuvent survenir dans l exercice de leurs fonctions dans le domaine des finances. L étude de cas se rapporte à un ministère fictif, le ministère du Mieux-être, qui mène une gamme d activités typiques d un ministère : activités réglementaires, subventions et contributions, exécution de programmes et gestion de projets. École de la fonction publique du Canada http://www.monecole.gc.ca/ 6
Ce ministère fictif est financé de la même manière que de nombreux ministères : le Parlement verse des crédits pour i) les dépenses de fonctionnement, ii) les subventions et les contributions et iii) les dépenses en immobilisations. Le ministère fictif mène également des activités selon le principe du recouvrement des coûts. Le ministère a établi un profil de risque organisationnel qui présente, de son point de vue, les principaux risques auxquels il fait face ainsi que l évaluation globale de ces risques. L étude de cas permet aux participants de visualiser des types particuliers de risques financiers qui existent dans tous les ministères (dépassement de crédit, abus d une politique du Conseil du Trésor [CT], manque de séparation des tâches en matière de dépenses, etc.). Les participants devront situer les risques financiers associés aux activités de programme ou au profil de risque du ministère. Dans ce dernier cas, les participants devront intégrer ces autres risques aux conséquences financières et élaborer une approche équilibrée de gestion du risque dans le contexte de la tolérance au risque et de la culture organisationnelle du ministère. L étude de cas sera présentée en segments, de sorte que les participants puissent graduellement approfondir leur compréhension et prendre confiance en leurs habiletés. Étude de cas, partie 1 Planification du risque et détermination des conditions opérationnelles (pour présenter la notion de planification dans le processus de gestion du risque) Étude de cas, partie 2 Détermination des risques (pour appliquer le processus de gestion du risque à la gestion financière) Étude de cas, partie 3 Évaluation (pour évaluer les facteurs de risque du domaine des finances) Étude de cas, partie 4 Intervention (pour établir les interventions appropriées dans le cadre d un plan de gestion du risque) Étude de cas, partie 5 Communication et surveillance (pour tenir compte des mesures de communication et de surveillance dans le cadre d un plan de gestion du risque) 4.0 RÉFÉRENCES Loi Loi sur la gestion des finances publiques Lignes directrices, outils et instruments de politiques pertinents Le Guide de gestion intégrée du risque 2010 du SCT et d autres guides et outils de gestion du risque se trouvent sur le site Web du SCT. Cadre stratégique de gestion du risque, Secrétariat du Conseil du Trésor Cadre stratégique sur la gestion de la conformité, Secrétariat du Conseil du Trésor École de la fonction publique du Canada http://www.monecole.gc.ca/ 7
Bien qu il n y ait pas de politiques directement associées au Cadre stratégique de gestion du risque, les principes qui y sont énoncés se manifestent dans les obligations liées à la gestion du risque contenues dans l ensemble des politiques du Conseil du Trésor. Voici des exemples : Politique sur la gouvernance en matière de gestion financière http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=14005§ion=text Politique sur le contrôle interne http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=15258 Politique sur la vérification interne http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16484 Directive sur la vérification des comptes http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=15790§ion=text Politique sur les paiements de transfert http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=13525 Politique de planification des investissements Actifs et services acquis http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=18225 Politique sur la gestion de projets http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=18229 Directive sur la vérification interne au gouvernement du Canada http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?section=text&id=25610 Cadre stratégique pour l information et la technologie http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12452 Directive sur les rôles et les responsabilités en matière de gestion de l information http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12754 École de la fonction publique du Canada http://www.monecole.gc.ca/ 8
5.0 HORAIRE DU COURS Time Jour 1 8 h 30 Séance de présentation Séance 1 Contexte entourant t la gestion du risque financier 10 h 30 Pause 10 h 45 Séance 2 Risques propres à une activité de gestion financière 12 h Dîner 13 h Séance 2 (suite) 15 h Pause 15 h 15 Séance 2 (suite) Clôture 16 h 30 Fin 6.0 LIENS AVEC D AUTRES COURS Le cours C210 Introduction à la gestion du risque est un préalable à ce cours. École de la fonction publique du Canada http://www.monecole.gc.ca/ 9
SÉANCE 1 CONTEXTE ENTOURANT LA GESTION DU RISQUE FINANCIER OBJECTIFS Dans cette séance, l enseignant prépare le terrain pour les professionnels des finances en expliquant pourquoi il est important de tenir compte des risques et comment évaluer les risques financiers. Il sera question du recours aux contrôles internes et des enjeux en matière de conformité ainsi que des répercussions des risques et de l atténuation de ceux-ci dans le contexte du rôle de l agent financier. Le processus de gestion du risque décrit dans le Cadre stratégique de gestion du risque du SCT est brièvement abordé, ainsi que sa terminologie. L objectif de cette séance est le suivant : Expliquer le processus de gestion du risque à appliquer pour analyser les risques ayant des conséquences sur le plan financier. Les principaux points qui seront abordés au cours de la séance sont les suivants : Expliquer les rôles du professionnel des finances par rapport à la gestion du risque; Décrire le processus de gestion du risque à appliquer à une activité financière; Nommer les différents types de risques associés à une activité financière; Expliquer la position ministérielle à l égard de la gestion du risque. 1.0 PRINCIPES ET IMPORTANCE DE LA GESTION DU RISQUE Depuis de nombreuses années, le Secrétariat du Conseil du Trésor (SCT) fait valoir la nécessité d une gestion efficace du risque au gouvernement. La section «Références», présentée plus tôt dans le manuel, contient plusieurs publications récentes sur le sujet. Étant donné qu il n est pas possible de connaître l avenir avec certitude, le risque est inhérent à toutes les activités des ministères. Ainsi, pour gérer efficacement le risque, il faut tenir compte des nouveaux risques et des stratégies d atténuation afin de contrôler les risques ou de tirer avantage des conséquences de ceux-ci. 1.1 Processus de gestion du risque Bien que le risque soit souvent caractérisé comme une incertitude négative (communément appelée «menace»), il peut également représenter une incertitude positive (communément appelée «opportunité»). Le tableau ci-dessous montre les cinq étapes du processus de gestion du risque établi par le SCT. On y trouve également des exemples de la façon dont ce processus peut être appliqué à l approvisionnement et à la gestion financière. Ce processus est utilisé par les ministères non seulement pour établir un plan de gestion du risque, mais aussi pour déterminer comment gérer les risques dans l organisation. École de la fonction publique du Canada http://www.monecole.gc.ca/ 10
Processus de gestion du risque Étapes Description Exemple du domaine de l approvisionnement Exemple du domaine des finances 1. Détermination des risques Établir le contexte opérationnel et déterminer les risques pouvant nuire à l atteinte des objectifs. L utilisation de cartes d achat peut améliorer l efficacité administrative et faire en sorte que les programmes disposent des fournitures et du matériel dont ils ont besoin quand ils en ont besoin (opportunité). Cependant, la distribution à grande échelle de ces cartes aux employés augmente le risque d une mauvaise utilisation (menace). Le Parlement donne du financement aux ministères. Les gestionnaires dépensent ces fonds pour réaliser les objectifs ministériels (opportunité). Cependant, si le ministère contourne l autorisation du Parlement si ses dépenses excèdent le montant approuvé par celui-ci (menace). 2. Évaluation Valider, analyser et évaluer les risques sur la base de leur probabilité et de leur incidence. Les fonctionnaires sont comme tout le monde; la plupart sont honnêtes, mais certains d entre eux trichent ou font des erreurs. Le ministre et le sous-ministre délèguent le pouvoir d engager des dépenses aux gestionnaires des centres de responsabilité. Les gestionnaires peuvent dépasser leur budget individuellement, mais ne peuvent le faire collectivement. 3. Intervention Classer les risques évalués par ordre d importance et déterminer les mesures qu il convient de prendre. Des contrôles sont établis pour réduire la probabilité qu un risque se matérialise (p. ex. imposer des limites monétaires sur les cartes d achat) ainsi que la probabilité que des erreurs soient commises (p. ex. former les utilisateurs). Les cadres supérieurs surveillent les dépenses engagées par les gestionnaires qui leur sont subordonnés (réduisant ainsi la possibilité que le budget soit dépassé); de plus, des prévisions périodiques des dépenses annuelles sont nécessaires (elles permettent de réduire l incidence des excédents de dépenses possibles). École de la fonction publique du Canada http://www.monecole.gc.ca/ 11
Étapes Description Exemple du domaine de l approvisionnement Exemple du domaine des finances 4. Communication Communiquer l information sur les risques aux bonnes personnes, au bon moment et pour les bonnes raisons. Avant d obtenir une carte, les employés assistent à une séance d information et signent un document indiquant les attentes quant à l utilisation de la carte. On rappelle aux superviseurs leurs pouvoirs délégués et leurs responsabilités en matière de surveillance. Avant de pouvoir exercer les pouvoirs de signature qui leur sont délégués en matière d opérations financières, les gestionnaires doivent suivre une formation sur la délégation des pouvoirs. 5. Surveillance Assurer la surveillance constante des risques, des mesures d atténuation et des facteurs de risque afin de rester au fait de la situation. Les transactions effectuées avec les cartes sont surveillées. Les responsables de la vérification des comptes vérifient s il y a eu des erreurs ou des abus. Les conseillers en gestion financière (CGF) utilisent des rapports financiers mensuels pour surveiller les dépenses et ont recours à des techniques telles que l analyse des tendances pour évaluer la possibilité d un excédent de dépenses. 2.0 RÔLES DU PROFESSIONNEL DES FINANCES PAR RAPPORT À LA GESTION DU RISQUE 2.1 Le dirigeant principal des finances La Politique sur la gouvernance en matière de gestion financière du Conseil du Trésor énonce les responsabilités du dirigeant principal des finances (DPF) en ce qui a trait au risque dans les paragraphes suivants : Fonctions École de la fonction publique du Canada http://www.monecole.gc.ca/ 12
5.4.4 Veiller à ce que de solides procédures de vérification des comptes soient en place conformément à la Loi sur la gestion des finances publiques; Cette fonction se rapporte au traitement des opérations 5.4.6 Évaluer en collaboration avec l équipe de la haute direction les principaux risques opérationnels et répercussions des ressources financières des options et des solutions de rechange en matière de politiques et leur incidence sur la situation financière du ministère, à moins que l administrateur général ne désigne expressément un autre employé; 5.4.12 Conseiller l administrateur général, dans l éventualité où un plan d action proposé est susceptible d engendrer des risques financiers indus ou liés aux contrôles pour le ministère, ou contrevient aux exigences financières prévues dans une loi, un règlement ou une politique. Cette fonction se rapporte aux risques associés à l utilisation des ressources Cette fonction se rapporte aux risques associés aux propositions de politiques présentées dans les mémoires au Cabinet La politique exige également que les cadres supérieurs des ministères consultent le DPF sur certaines questions, notamment le risque : 5.5.4 Solliciter l avis et le soutien du DPF relativement à l élaboration et au maintien d un cadre efficace de gestion financière de risque et de contrôle pour leurs programmes, ainsi qu à l intégration de l information financière et non financière connexe. Selon la Politique sur le contrôle interne Conseil du Trésor, le contrôle interne est l ensemble des moyens mis en place par les organisations pour atténuer les risques et fournir une assurance raisonnable dans les grandes catégories suivantes : l efficacité et l efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; la fiabilité des rapports financiers; la conformité aux lois, aux règlements, aux politiques et aux pouvoirs délégués. Cette politique présente le cadre général en matière de contrôle interne dans les ministères et reconnaît explicitement le lien entre le contrôle interne et la gestion du risque. La politique contient le passage suivant : École de la fonction publique du Canada http://www.monecole.gc.ca/ 13
Ainsi, les contrôles internes opèrent à tous les niveaux à travers l organisation et font partie intégrante du cadre de gestion des risques de l organisation. En pratique, le système de contrôle interne du ministère est composé de plusieurs systèmes de contrôles internes couvrant des domaines variés de gestion, tel que la gestion financière et les rapports financiers. Le DPF est responsable des contrôles financiers internes, ce qui fait de lui le gestionnaire des risques financiers du ministère. Il exerce ce rôle de différentes façons : En établissant des processus opérationnels et des contrôles comportant un élément financier important; En donnant une orientation quant à l approbation et l enregistrement des opérations financières; En examinant les processus opérationnels pour s assurer que des contrôles sont en place et qu ils fonctionnent bien; En fournissant une attestation pour de nombreux types de renseignements financiers. 2.2 Agents financiers Dans leurs activités quotidiennes, les agents financiers soutiennent le DPF dans son rôle en matière de gestion du risque. Voici des exemples : Le personnel des opérations comptables est chargé du traitement des transactions, de la tenue de dossiers et de la production de rapports financiers, ce qui inclut la conception de processus connexes et la vérification des contrôles internes; Les conseillers en gestion financière examinent les propositions de financement de la direction, évaluent les risques qui y sont associés et donnent des conseils sur les façons appropriées d atteindre les objectifs des programmes sans augmenter les risques; Les agents des systèmes financiers conçoivent des rapports financiers afin de fournir des renseignements que les gestionnaires peuvent utiliser pour gérer leur budget et donc se prémunir contre le risque d un excédent de dépenses; Les agents des politiques financières examinent les processus opérationnels et conçoivent les pratiques opérationnelles du ministère afin de s assurer que les exigences des politiques sont respectées et que des contrôles internes appropriés et proportionnels aux risques sont en place. La surveillance est une fonction qu exercent de nombreux agents financiers. Au cours d une activité de surveillance, il est important de tenir compte de la possibilité que les contrôles internes ne fonctionnent pas, que les risques cernés se matérialisent ou que de nouveaux risques apparaissent. Il est important que les agents financiers demeurent conscients des deux aspects du risque : la menace et l opportunité. Il faut garder les deux à l esprit. On accorde beaucoup d attention à l aspect «menace» (le contrôle fonctionne-t-il, le document a-t-il été signé par un gestionnaire investi de pouvoirs délégués, etc.), mais il ne faut pas oublier les possibilités d innovation ou d amélioration, de réduction des coûts, d efficacité accrue dans l exécution, etc. École de la fonction publique du Canada http://www.monecole.gc.ca/ 14
D une certaine façon, le risque financier fait partie des responsabilités quotidiennes de l agent financier. En général, les contrôles financiers sont conçus pour réduire la probabilité qu un risque se matérialise et l incidence de celui-ci, s il devait se matérialiser. Par exemple, toute personne participant au traitement des paiements en vertu de l article 33 de la LGFP compose avec le risque à chaque opération. Les procédures de contrôle, notamment lorsqu il s agit de vérifier la signature en vertu de l article 34 et de s assurer qu il y a suffisamment de documents à l appui de l opération (p. ex. un marché) font partie de la stratégie d atténuation des risques (la stratégie visant à réduire la probabilité qu un risque se matérialise). Les opérations dont la valeur est élevée et les opérations qui répondent à d autres critères définis au préalable sont examinées de plus près, étant donné qu une évaluation du risque a été menée afin de déterminer comment affecter les ressources limitées (c.-à-d. le temps du personnel des finances) de façon optimale pour réduire la probabilité qu un risque se matérialise ou réduire au minimum toute répercussion financière. Le risque financier peut également être examiné et évalué de façon périodique. Par exemple, le DPF doit attester les renseignements financiers contenus dans certains types de documents, tels que les mémoires au Cabinet et les présentations au Conseil du Trésor. Dans ces cas, un ou plusieurs agents financiers participeront à l examen du contenu détermineront si les renseignements sont raisonnables et présenteront des conseils au DPF. Ce type d examen comprend également une évaluation du risque, que ce soit à l égard du caractère raisonnable des hypothèses sur lesquelles reposent les renseignements ou des risques particuliers liés aux options présentées. Discussion Dans quels secteurs d activités avez-vous contribué à contenir les menaces à l atteinte des objectifs en matière de contrôle interne? Y a-t-il des situations où vous avez pu contribuer à l atteinte des objectifs par l innovation? Discussion Dans quels secteurs d activités avez-vous contribué à contenir les menaces à l atteinte des objectifs en matière de contrôle interne? Y a-t-il des situations où vous avez pu contribuer à l atteinte des objectifs par l innovation? École de la fonction publique du Canada http://www.monecole.gc.ca/ 15
3.0 RÔLE DES GESTIONNAIRES DE PROGRAMME ET DES SPÉCIALISTES FONCTIONNELS PAR RAPPORT À LA GESTION DU RISQUE Le risque est présent dans tous les secteurs du ministère, et donc, certains types de risques doivent être évalués et gérés par les gestionnaires et les spécialistes fonctionnels. Même si la responsabilité du risque revient à quelqu un d autre, les agents financiers doivent être au courant de tous les risques touchant leur fonction et demeurer vigilants à l égard des changements dans leur environnement ainsi que des facteurs de risque. 3.1 Gestionnaires de programme Les gestionnaires de programme remplissent toute une gamme de fonctions, notamment gérer des programmes de subventions et de contributions, remplir des fonctions de réglementation, fournir des services directement au public, mener des recherches et fournir des services internes aux autres organismes gouvernementaux. À plusieurs égards, c est dans les programmes que se trouvent la plupart des risques. Le type de risque varie selon la nature des programmes, étant donné que, par définition, le risque est une mesure de l incertitude liée à l atteinte des objectifs des programmes. Les gestionnaires de programme interagissent continuellement avec les agents financiers et les autres spécialistes fonctionnels et peuvent participer à la gestion des risques avec leurs homologues d autres secteurs fonctionnels. Par exemple, les gestionnaires de programme prennent des décisions quant à la façon de dépenser le budget. À cette fin, ils peuvent interagir avec les agents d approvisionnement pour gérer les risques liés aux marchés, avec les agents des ressources humaines pour gérer les risques liés à la dotation, et avec les agents financiers pour gérer divers risques financiers. 3.2 Spécialistes fonctionnels Divers spécialistes fonctionnels ont des responsabilités par rapport à l évaluation et à la gestion du risque. Par exemple : Les agents financiers veillent à ce que les principes comptables appropriés soient respectés afin d éviter que les états financiers contiennent des renseignements trompeurs et donnent des conseils fondés sur l analyse financière dans le but d accroître l efficience. Les agents de programme veillent à ce que les rapports produits par les bénéficiaires de contributions soient examinés minutieusement de manière à réduire le risque de mauvaise utilisation des fonds et à cerner les problèmes qui existent dans les processus opérationnels, par exemple quand un goulot d étranglement peut être éliminé afin d accélérer la prestation de services. Les agents de la technologie de l information veillent à ce que le processus de sauvegarde automatique des dossiers essentiels fonctionne adéquatement afin de réduire au minimum le risque de perte de données. Les vérificateurs internes sont souvent les «experts en matière de risque» du ministère. Au moment de sélectionner les éléments à vérifier, ils accordent la priorité aux secteurs dans lesquels le ministère fait face à des risques accrus. École de la fonction publique du Canada http://www.monecole.gc.ca/ 16
Les évaluateurs de programmes s intéressent aux répercussions des programmes. Leur travail fournit des renseignements sur la question de savoir si les risques liés aux programmes changent ou se matérialisent. Les spécialistes de l approvisionnement donnent des conseils sur les méthodes et les approches qui permettent de réduire au minimum les divers risques associés à l approvisionnement. Les agents des ressources humaines traitent les questions liées au personnel, lesquelles soulèvent des types particuliers de risques. Par exemple : le ministère dispose-t-il des compétences dont il a besoin, maintenant et dont il aura besoin dans l avenir? Les mesures de dotation permettent-elles de retenir les meilleurs candidats tout en respectant les lois et les politiques? Les agents des ressources humaines gèrent ces risques et fournissent des conseils connexes. Les comités de gestion examinent des propositions, puis prennent des décisions. Chaque membre du comité évalue des points à l ordre du jour portant sur les risques liés à son secteur fonctionnel (ainsi que sur les autres facteurs de risque pertinents) et signale des problèmes, s il y a lieu. 3.3 Bureaux ministériels de gestion du risque Certains ministères ont créé un bureau ministériel de gestion du risque (p. ex. création d un poste d agent principal des risques), lequel fournit conseils et supervision aux responsables de la gestion du risque au ministère. Ce bureau n est pas chargé de la gestion du risque en tant que telle, mais il veille à ce que ceux qui gèrent les risques disposent de mécanismes et d outils adéquats. 3.4 Responsabilité partagée Individuellement, les gestionnaires ou les agents peuvent gérer un élément de risque précis; toutefois, dans certains secteurs, la collaboration est essentielle à une gestion collective du risque global. Par exemple : Les processus opérationnels Les gestionnaires de programme doivent s assurer que les opérations des programmes s effectuent de façon efficace. Le processus opérationnel sous-jacent fait souvent intervenir de nombreux intervenants; par exemple, dans une activité de subventions et de contributions, les agents de programme s occupent des demandes de financement, des décisions liées aux ententes de financement, des fonctions de surveillance et de paiement, etc. Habituellement, la TI s occupe des exigences liées aux systèmes d information, les finances s occupent des paiements, et d autres secteurs peuvent également entrer en jeu, notamment les services juridiques, la vérification et l évaluation. Tous les intervenants doivent savoir qui se charge de quels risques. Approvisionnement et paiement L achat et le paiement des biens font intervenir les responsables des centres de responsabilité, le personnel de soutien administratif, les spécialistes de la passation de marchés et, possiblement, d autres spécialistes fonctionnels. Il existe un certain nombre de politiques du CT concernant l approvisionnement et le paiement; des risques peuvent se matérialiser à plusieurs étapes du processus d achat, de paiement, de comptabilité et de reddition de comptes. École de la fonction publique du Canada http://www.monecole.gc.ca/ 17
3.5 Collaboration dans la gestion du risque Les points présentés plus haut démontrent que la gestion du risque exige une certaine complémentarité. Bien que les gestionnaires de programme et les spécialistes fonctionnels doivent évaluer et gérer les risques dont ils sont responsables, tous doivent se consulter et collaborer afin de s assurer que la stratégie globale de gestion du risque est équilibrée et appropriée. Un contrôle qui permet d éliminer un risque dans un secteur pourrait entraîner l apparition d un autre risque dans un autre secteur. Discussion Supposons que la division des finances d un ministère s inquiète du fait que les bénéficiaires de contributions ne fournissent pas suffisamment de renseignements dans leurs rapports pour démontrer que le financement sert uniquement à des «dépenses admissibles». Le gestionnaire des finances responsable pense que la probabilité du risque de dépenses inappropriées peut être réduite à l aide d un nouveau contrôle qui nécessiterait qu un vérificateur examine les dossiers financiers de tous les bénéficiaires avant que le ministère procède au paiement final en vertu de l entente de financement. Quelles communications sont requises entre les gestionnaires de programme et les bénéficiaires? Quelles pourraient être les répercussions? 4.0 LA GESTION DU RISQUE DANS LA PLANIFICATION Le Cadre stratégique de gestion du risque énonce les principes de base de la gestion du risque ainsi que les rôles et les responsabilités des administrateurs généraux et des ministères et organismes et les attentes à leur égard pour ce qui est de diriger la mise en œuvre de pratiques de gestion du risque efficaces dans les organisations du gouvernement fédéral. La gestion du risque est un élément fondamental d une bonne gestion et d un bon processus décisionnel à tous les niveaux de l organisation. Pour être efficace, la gestion du risque ne doit pas fonctionner en vase clos, mais plutôt être intégrée aux structures et aux processus décisionnels existants. L intégration de la gestion du risque dans les structures et les programmes d une organisation à l aide d un processus de gestion du risque uniforme permet de créer un environnement de gestion du risque cohérent et homogène. La gestion du risque dans la planification exige : i. de connaître les conditions opérationnelles du ministère, du programme, du projet, de l activité ou de la fonction où des risques pourraient apparaître; École de la fonction publique du Canada http://www.monecole.gc.ca/ 18
ii. d établir la culture organisationnelle et la tolérance du ministère à l égard du risque; iii. d élaborer un profil de risque organisationnel (consigner par écrit des renseignements permettant de comprendre le contexte opérationnel et les objectifs du ministère en ce qui a trait à la gestion du risque et donner un aperçu des principaux risques). 4.1 Analyse de l environnement Rappelez-vous les deux facettes de la gestion du risque : se protéger contre les menaces tout en cherchant des opportunités. Rappelez-vous également qu un facteur de risque est une circonstance (interne ou externe) qui peut entraîner la matérialisation d un risque ou y contribuer. L analyse de l environnement est une méthode souvent utilisée pour mieux comprendre les conditions opérationnelles du ministère (la première étape de la planification, comme il a été indiqué plus haut). L analyse de l environnement consiste à recueillir et à utiliser des renseignements sur les événements, les tendances, les éléments récurrents et les relations qui existent dans l environnement interne et externe d une organisation. L analyse de l environnement aide les gestionnaires à atteindre les objectifs organisationnels en cernant les menaces auxquelles l organisation fait face ainsi que les opportunités qui se présentent. L analyse FFPM est un outil couramment utilisé pour l analyse de l environnement. Les forces (F) et les faiblesses (F) sont considérées comme des facteurs internes sur lesquels l organisation peut exercer un certain contrôle. Les possibilités (P) et les menaces (M), quant à elles, sont considérées comme des facteurs externes sur lesquels l organisation n a peu ou pas de contrôle. L analyse FFPM permet d examiner tous les facteurs positifs et négatifs à l intérieur et à l extérieur de l organisation et aide à évaluer les forces et les limites internes de l organisation, de même que les possibilités et les menaces de l environnement externe. Dans une analyse FFPM, les risques sont souvent placés dans la catégorie «Menaces», et les facteurs de risque, dans la catégorie «Faiblesses». L analyse FFPM peut être appliquée à de nombreuses échelles, que ce soit à l échelle du ministère dans son ensemble ou à celle d un programme (p. ex. un programme de contributions), d un projet (p. ex. élaboration d un nouveau système d information), d une fonction (p. ex. activités de crédit et de recouvrement) ou d un processus opérationnel (p. ex. achats de faible valeur). Bien que l analyse FFPM soit un outil relativement répandu qu utilisent de nombreux ministères dans leurs activités de planification du risque, il existe également d autres méthodes. Par exemple, la schématisation des processus peut être utile pour évaluer le risque dans le cadre d une activité de projet : elle consiste à examiner les principaux jalons, points de décision et livrables et à évaluer le risque potentiel pour chaque étape d un processus. L analyse comparative est un autre outil de planification du risque qui est particulièrement utile au moment d envisager une nouvelle initiative. On peut obtenir des renseignements précieux en examinant des activités semblables au sein du ministère ou dans d autres ministères et en les comparant, et ainsi déterminer où les risques pourraient se matérialiser. École de la fonction publique du Canada http://www.monecole.gc.ca/ 19
Peu importe les outils utilisés, la détermination des conditions opérationnelles pertinentes, ce qui inclut l évaluation des forces et des faiblesses internes, est une bonne première étape pour la détermination des risques. Par exemple, supposons que le risque évalué est la possibilité que des paiements non conformes soient effectués au ministère. L existence d un solide programme de formation sur la délégation des pouvoirs pourrait être considérée comme une force de l organisation susceptible de réduire la probabilité que le risque se matérialise. En revanche, on pourrait voir une faiblesse dans la réduction des ressources affectées à la vérification interne et, de ce fait, la diminution par le dirigeant principal de la vérification du nombre de vérifications des opérations financières. Compte tenu de cette analyse, le DPF pourrait décider d établir un seuil d importance relative de 5 000 $ et de faire en sorte que toute opération qui dépasse ce seuil soit examinée par un commis aux comptes créditeurs avant qu un agent financier n exerce les pouvoirs qui lui sont délégués en vertu de l article 33. Cette intervention témoigne d une force organisationnelle qui permet de réduire la probabilité des paiements non conformes tout en tenant compte de la faiblesse selon laquelle il est peu probable que les problèmes soient détectés après que le paiement a été effectué. Le seuil d importance relative de 5 000 $ dénote le degré de risque que le DPF est prêt à accepter. Pour bien gérer le risque financier, il faut chercher les possibilités, repérer les nouvelles menaces, déterminer si la possibilité l emporte sur la menace et mettre en œuvre les contrôles nécessaires pour contrecarrer la menace. Par exemple, l introduction de la carte d achat présentait la possibilité d accroître l efficacité (en réduisant les coûts associés aux achats et aux paiements de faible valeur), mais a créé une nouvelle menace (celle que le titulaire de la carte utilise celle-ci de façon inappropriée). La mise en œuvre du nouveau processus ainsi que l application des contrôles appropriés (formation des titulaires des cartes, acceptation de la responsabilité personnelle à l égard de la carte, surveillance des opérations d achat, etc.) permettent d accroître l efficacité de façon contrôlée. 4.2 Profil de risque organisationnel Le profil de risque organisationnel est un outil qu utilisent les ministères pour établir le fondement d une culture consciente des risques et préparer le terrain en vue d intégrer la gestion du risque aux activités de gestion continue. Le profil de risque organisationnel permet aux ministères de présenter une vue d ensemble des principaux risques auxquels ils font face, ainsi que le contexte opérationnel et les objectifs en matière de gestion du risque. Le profil de risque organisationnel est utilisé à plusieurs fins : Soutenir la haute direction dans l analyse et la prise de décisions à l égard de l établissement des priorités et de l affectation des ressources; Présenter aux employés et aux intervenants un portrait clair des principaux risques de l organisation; Repérer les opportunités et les secteurs où il est possible d améliorer l efficacité; Appuyer l établissement de priorités stratégiques, l affectation des ressources, l obtention de meilleurs résultats ainsi que la prise de décisions éclairées en ce qui a trait à la tolérance au risque. École de la fonction publique du Canada http://www.monecole.gc.ca/ 20
Le profil de risque organisationnel indique les différentes catégories de risque ainsi que les risques appartenant à chacune d entre elles. Il renferme également une évaluation de la probabilité et de l incidence des risques (habituellement établie à l aide d une grille d évaluation des risques). Le profil de risque organisationnel contient suffisamment de renseignements au sujet des risques et de la façon dont ceux-ci doivent être évalués. Ces renseignements sont notamment : Un énoncé décrivant chaque risque. Par exemple : «Les inspecteurs qui font partie du programme A doivent avoir une scolarité et des compétences particulières. Étant donné qu environ 35 % du personnel actuel sera admissible à la retraite au cours des cinq prochaines années et que les mêmes compétences sont de plus en plus recherchées dans le secteur privé, il y a un risque que le programme ne soit pas en mesure de mettre en œuvre une stratégie d inspection efficace en l absence d un nombre suffisant d employés qualifiés.» Une description des sources de risque (facteurs de risque, tendances) qui influent sur la mesure dans laquelle une organisation est exposée au risque, qu elles soient internes (c.- à-d. les sources qui sont présentes à l intérieur du ministère) ou externes (à l extérieur du ministère). Une brève description de l incidence et des répercussions du risque s il devait se matérialiser. Une évaluation de l exposition de l organisation aux risques inhérents. Une évaluation de la probabilité et de l incidence des risques résiduels. Une liste des mesures déjà en place ou dont la mise en œuvre est prévue. Des indicateurs de rendement pertinents pour les interventions et les plans d action pertinents. La personne responsable de chacun des risques et des stratégies d atténuation connexes. De nombreux ministères utilisent un «aperçu du profil de risque ministériel» pour résumer les principaux renseignements relatifs à la planification des risques et pour mettre en évidence les éléments du profil de risque organisationnel. En voici un modèle : École de la fonction publique du Canada http://www.monecole.gc.ca/ 21
1. Risque ministériel clé Catégorie/nom du risque Énoncé du risque Stratégie d intervention globale Énoncé qui décrit brièvement le risque Intervention Résultats stratégiques touchés Priorités ministérielles touchées Position sur le diagramme d exposition aux risques Évaluation du risque Résultat du vote Incidence Probabilité Tendance du risque Principaux facteurs de risque : Contrôles en place : Conséquences possibles Possibilités : Menaces : Plan d intervention Responsable Indicateurs d efficacité de l intervention 1. 2. 3. 4. Progression du plan d action École de la fonction publique du Canada http://www.monecole.gc.ca/ 22
4.3 Les agents financiers et le profil de risque organisationnel Le profil de risque organisationnel peut servir de source d information pour les agents financiers. Il peut donner une perspective quant aux secteurs dans lesquels la haute direction pourrait plus ou moins tolérer le risque, et montrer les types de risques qui la préoccupent le plus. Il peut illustrer les changements dans la perception du risque ou des approches à l égard du risque au fil du temps et indiquer les mesures d atténuation du risque importantes pour des programmes, des projets et des activités en particulier. Le profil de risque organisationnel porte sur l ensemble du ministère et peut indiquer les risques financiers importants qui doivent être surveillés et gérés. Les risques peuvent se matérialiser à plusieurs échelles au sein du ministère; le profil de risque organisationnel fournit donc un cadre et une orientation pour l évaluation et la gestion des risques aux échelles inférieures. École de la fonction publique du Canada http://www.monecole.gc.ca/ 23
SÉANCE 2 RISQUES PROPRES À UNE ACTIVITÉ DE GESTION FINANCIÈRE OBJECTIFS Cette séance décrit les grandes catégories de risques et les types de risques liés à la fonction de gestion financière. Les participants seront en mesure de comprendre les enjeux ministériels, la notion de tolérance au risque et les stratégies d atténuation qui sont utiles à la gestion du risque financier. Les relations et interrelations du risque financier au sein d une organisation sont également abordées. Les objectifs de cette séance sont les suivants : Nommer les différents types de risques propres à une activité de gestion financière. Appliquer le processus de gestion du risque aux activités de gestion financière. Les éléments suivants seront abordés pendant la séance : Nommer les différents types de risques associés à une activité financière. Décrire la relation entre le risque financier et les autres types de risques. Nommer les contrôles financiers et les autres stratégies d atténuation des risques. Appliquer le processus de gestion du risque à une activité particulière (planification, comptabilité ministérielle, rôle du CGF). Nommer les stratégies de communication et de surveillance qui permettent la mise en œuvre réussie d un plan de gestion du risque. 1.0 ÉTAPE 1 DÉTERMINATION DES RISQUES 1.1 Échelles de risque Le risque (c.-à-d. l effet de l incertitude sur l atteinte des objectifs) peut se manifester à plusieurs échelles : À l échelle d un ministère (risque touchant l entité), comme un événement qui causerait beaucoup de tort au ministère ou ferait en sorte que ses objectifs ne soient pas atteints, p. ex. une intrusion qui causerait la mise hors service des systèmes d information ministériels. À l échelle d un programme ou d une direction générale, p. ex. un programme décentralisé dans lequel les prévisions budgétaires n ont pas été mises en œuvre correctement à tous les niveaux. À l échelle d une fonction, p. ex. des problèmes liés à la passation de marchés ou aux déplacements. À cette échelle, les activités quotidiennes de gestion du risque sont menées par les agents financiers et les spécialistes fonctionnels. À l échelle d un projet, p. ex. des problèmes liés au coût, à l échéancier, à l atteinte des jalons ou aux résultats attendus d un projet. École de la fonction publique du Canada http://www.monecole.gc.ca/ 24
À l échelle des employés, p. ex. un employé ne comprend pas le contrôle selon lequel tous les chèques doivent être déposés chaque jour, et qui laisse les chèques dans un classeur si longtemps qu ils deviennent périmés. Le risque financier doit être traité dans le cadre de la stratégie ministérielle en matière de risque, en commençant par le risque à l échelle de l entité et en descendant vers les échelles plus petites. Les agents financiers doivent être conscients du contexte entourant un élément de risque et y réfléchir avant de pouvoir intervenir. La réflexion vise à situer le risque (que ce soit pour contrer une menace possible ou pour envisager de mettre à profit une possibilité d amélioration) par rapport aux objectifs globaux du ministère et aux objectifs d un programme ou d une fonction. 1.2 Risques à l échelle de l entité Les contrôles à l échelle de l entité permettent de traiter les risques à l échelle du ministère et aident à garantir l exécution des directives de la direction à l intention de l ensemble du ministère. Les contrôles à l échelle de l entité ont une influence partout dans l organisation. Ils transmettent le ton donné par la direction et communiquent des messages fermes indiquant qu il est important de prendre en considération l atteinte des objectifs et de gérer les risques qui pourraient nuire à celle-ci. Le tableau ci-dessous montre des exemples de risques à l échelle de l entité, des contrôles connexes et de processus ou de contrôles financiers qui s y rapportent. Risque à l échelle de l entité Si les employés ne se conduisent pas de façon conforme aux valeurs et à l éthique, leur comportement pourrait nuire à la réputation et à la crédibilité du ministère. Les résultats escomptés pourraient ne pas être atteints si les gestionnaires et les employés ne comprennent pas les attentes. Contrôle à l échelle de l entité Exemple du domaine des finances Le ministère adopte et applique le Code de valeurs et d éthique du gouvernement et communique ses attentes à tous les employés. Les structures de gouvernance sont explicites. Les programmes sont définis, et leur mandat est approuvé (p. ex. modalités d un programme de contributions), et les gestionnaires doivent rendre compte du rendement. Les gestionnaires reçoivent une formation qui met l accent sur l obligation de se conduire de façon conforme à l éthique avant de se voir déléguer le pouvoir de signer des documents financiers. Le ministère crée une architecture d harmonisation des programmes (AHP), laquelle est approuvée par le Conseil du Trésor, afin de décrire les activités, les résultats et le rendement attendu. Les rapports financiers externes du ministère sont conformes à l AHP. École de la fonction publique du Canada http://www.monecole.gc.ca/ 25
Risque à l échelle de l entité Faute de mener ses activités dans le respect du mandat qui lui a été confié par la loi, le ministère pourrait voir sa viabilité mise en péril. Contrôle à l échelle de l entité Exemple du domaine des finances Les vérificateurs internes et le comité de vérification du ministère mènent régulièrement des vérifications afin d évaluer la gestion du risque, les contrôles et les processus de gouvernance. Les ressources sont attribuées aux gestionnaires des centres de responsabilité selon les budgets approuvés. Les dépenses sont surveillées et des contrôles sont mis en place afin de réduire au minimum le risque de dépassement des crédits. 1.3 Taxonomie des risques/catégories de risques Le Guide sur la taxonomie des risques du SCT nomme un certain nombre de catégories dans lesquelles des risques précis pourraient se matérialiser. Une taxonomie est un outil d orientation utile à l analyse des risques, car elle représente un point de départ permettant d examiner où les risques pourraient apparaître. Habituellement, une organisation a des objectifs précis qui correspondent à chacune des catégories de la taxonomie. Il ne s agit pas de catégories définitives, mais plutôt d un point de départ de la réflexion sur les secteurs de risque. Catégorie Processus opérationnels Immobilisations Communications Conflit d intérêts Gestion financière Description Menaces et possibilités associées à la conception ou à la mise en œuvre des processus opérationnels. Menaces et possibilités associées aux immobilisations d une organisation, y compris les biens durables (p. ex., immeubles, navires, matériel scientifique, parc), mais à l exclusion de l infrastructure de la TI. Menaces et possibilités associées à l approche et à la culture d une organisation en matière de communication, de consultation, de transparence et de mise en commun des renseignements, tant à l interne qu à l externe. Menaces et possibilités associées aux conflits perçus ou potentiels entre les intérêts privés et l intérêt public. Menaces et possibilités associées aux structures et aux processus destinés à assurer une saine gestion des ressources financières et la conformité aux politiques et aux normes en matière de gestion financière. École de la fonction publique du Canada http://www.monecole.gc.ca/ 26
Catégorie Gouvernance et orientation stratégique Gestion des ressources humaines Gestion de l information Technologie de l information Description Menaces et possibilités associées aux façons de faire en matière de leadership, de prise de décisions et de capacité de gestion. Menaces et possibilités associées au roulement de personnel au sein de l effectif et de la direction, à la culture organisationnelle, au recrutement, à la rétention du personnel et aux processus et aux pratiques de dotation, à la planification de la relève et à la gestion du talent et au perfectionnement, à la formation et au renforcement des capacités des employés. Menaces et possibilités associées à la capacité et à la viabilité relativement aux procédures et aux pratiques de gestion de l information. Menaces et possibilités associées à la capacité et à la viabilité en matière de technologie de l information, dont l infrastructure et l utilisation des applications technologiques. Gestion du savoir Menaces et possibilités associées à la consignation et à la gestion du savoir, notamment en ce qui a trait à la propriété intellectuelle, à l information et aux dossiers organisationnels et opérationnels et aux données scientifiques. Risques juridiques Transformation organisationnelle et gestion du changement Élaboration et mise en œuvre des politiques Confidentialité et gérance de l information Conception et exécution des programmes Menaces et possibilités associées à la gestion des activités se rapportant à la législation, aux avis et aux litiges, y compris l élaboration et le renouvellement des lois, règlements, politiques et traités et accords internationaux selon les normes juridiques établies. Menaces et possibilités associées à un changement important de la structure ou du comportement d une organisation se rapportant à son mandat, à son contexte opérationnel, à son leadership ou à son orientation stratégique. Menaces et possibilités associées à l élaboration, à la mise en œuvre et au respect des politiques gouvernementales et des politiques et procédures internes. Menaces et possibilités associées à la protection de la propriété intellectuelle et des renseignements personnels. Menaces et possibilités associées à la conception et à l exécution de programmes particuliers susceptibles d avoir des répercussions sur les objectifs généraux de l organisation. École de la fonction publique du Canada http://www.monecole.gc.ca/ 27
Catégorie Gestion de projets Situation politique Réputation Gestion des ressources Parties intéressées et partenariats Valeurs et éthique Description Menaces et possibilités associées aux processus et aux pratiques de préparation et de gestion de grands projets à l appui du mandat général de l organisation ainsi qu à des risques liés à des projets susceptibles de nécessiter une gestion à long terme. Menaces et possibilités associées à la situation politique et au contexte de fonctionnement de l organisation. Menaces et possibilités associées à la réputation et à la crédibilité d une organisation auprès de ses partenaires, des intéressés et de la population canadienne. Menaces et possibilités associées à la disponibilité et au niveau des ressources permettant à une organisation de réaliser son mandat, de même qu à la gestion de ces ressources. Menaces et possibilités associées au profil démographique, aux caractéristiques et aux activités des partenaires et des parties intéressées d une organisation. Menaces et possibilités associées à la culture d une organisation et à sa capacité de respecter l esprit et l intention du Code de valeurs et d éthique de la fonction publique. École de la fonction publique du Canada http://www.monecole.gc.ca/ 28
Exercice À partir de la liste ci-dessus, sélectionnez cinq catégories de risques et nommez des risques correspondants qui pourraient avoir des conséquences sur le plan financier. Catégorie Exemple du domaine des finances 1.4 Risques à l échelle des programmes Les risques à l échelle des programmes peuvent varier selon la nature du programme, étant donné que, par définition, le risque est une mesure de l incertitude liée à l atteinte des objectifs des programmes. Voici des exemples de risques liés à l exécution de programmes : Pour un programme de recherche, les risques pourraient être formulés comme suit : Les projets de recherche entrepris ont-ils le potentiel de produire des résultats à l appui des objectifs du programme (mène-t-on les bonnes recherches)? La capacité est-elle suffisante pour mener des recherches qui éclaireront la prise de décisions ou la recommandation d options stratégiques (effectue-t-on suffisamment de recherches)? La propriété intellectuelle découlant des initiatives de recherche est-elle gérée efficacement? École de la fonction publique du Canada http://www.monecole.gc.ca/ 29
Pour un programme de contributions, les risques pourraient être formulés comme suit : Les ententes de contributions contribuent-elles à l atteinte des objectifs du gouvernement? Les projets approuvés aux fins de financement présentent-ils une combinaison optimale de facteurs permettant d atteindre les objectifs du programme? Les bénéficiaires utilisent-ils efficacement les ressources fournies dans le cadre de l entente de financement et respectent les conditions de celle-ci? Pour un programme de réglementation, les risques possibles pourraient être formulés comme suit : Les règlements favorisent-ils les comportements appropriés pour l atteinte des objectifs fixés par la loi? La surveillance subséquente permet-elle de veiller à ce que les parties réglementées prennent les mesures souhaitées? Les règlements ont-ils des conséquences inattendues et inappropriées? Interdépendance des risques La gestion financière est une fonction de soutien qui contribue à l exécution des programmes et à la prestation des services de façon efficace dans un ministère. Étant donné que le secteur des finances interagit avec de nombreux autres secteurs d un ministère, il existe un lien manifeste entre le risque financier et les autres types de risques; des interdépendances se créent donc entre les agents financiers et les autres spécialistes. Les interventions à l égard des risques peuvent être gérées en partie par un agent financier et en partie par un autre agent. Dans ces situations, il est crucial de bien comprendre les liens de dépendance et les responsabilités à l égard de la gestion des risques, y compris la responsabilité quant à la surveillance de la probabilité que le risque se matérialise et au contrôle de l événement à risque. Dans certains cas, les agents financiers sont responsables de la surveillance du risque ainsi que de la prise de décisions dans l éventualité où le risque se concrétise, et dans d autres cas, ils donnent des conseils à une autre personne qui décide des mesures à prendre. Exemple 1 : Supposons qu une facture est traitée conformément à l article 33 de la LGFP et qu un commis aux comptes créditeurs remarque des divergences dans la documentation à l appui (mesure de surveillance). Compte tenu du risque qu un paiement inapproprié soit effectué, l agent investi des pouvoirs délégués de signature en vertu de l article 33 décide de suspendre le paiement (une mesure de décision). Le gestionnaire qui a signé en vertu de l article 34 doit remédier au problème en fournissant les documents nécessaires avant que l approbation en vertu de l article 33 ne soit donnée. École de la fonction publique du Canada http://www.monecole.gc.ca/ 30
Exemple 2 : Supposons qu un gestionnaire de centre de responsabilité prépare une analyse de rentabilisation pour demander au sous-ministre adjoint (SMA) de lui affecter des sommes supplémentaires. Le conseiller en gestion financière (CGF) qui examine l analyse de rentabilisation pense que, d après les coûts engagés au cours des années précédentes pour les mêmes besoins, les sommes demandées sont peut-être trop élevées. Le CGF fait part de ses préoccupations au SMA, mais celui-ci, après avoir évalué l ensemble des facteurs, décide d accorder la totalité des sommes demandées. Étant donné le risque cerné, le SMA demande également au CGF de surveiller étroitement la façon dont les fonds sont utilisés. Pour tous les types de transactions de paiement, par exemple, de nombreux contrôles sont appliqués par les gestionnaires des centres de responsabilité, notamment l engagement des dépenses, la détermination des biens ou des services requis, la vérification de la réception des biens ou des services et la vérification de la conformité avec les marchés ou les demandes d achat. (Chacun de ces contrôles a une incidence sur le risque financier (c.-à-d. qu ils permettent de s assurer que les fonds sont utilisés de façon appropriée et conforme aux conditions imposées par les lois, notamment les lois de crédits.) De manière semblable, certaines mesures prises par les agents financiers peuvent avoir une incidence sur d autres types de risques, notamment les risques à l échelle des programmes. Par exemple, dans le cadre d un programme de contributions, les ententes de financement pourraient être conclues de manière à permettre les paiements au prorata des travaux avec l approbation des agents de programme. Si les critères relatifs aux paiements ne sont pas clairement définis, il pourrait y avoir des tensions entre les gestionnaires de programme qui approuvent les paiements en vertu de l article 34 de la LGFP et les agents financiers qui les signent en vertu de l article 33, ce qui crée un nouveau risque (c.-à-d. le risque que les bénéficiaires ne soient pas en mesure de remplir leurs obligations si les paiements ne sont pas conformes à l entente). Pour être efficaces, les mesures d atténuation prises à l égard des risques financiers doivent être communiquées, comprises et appliquées de façon uniforme. Donc, la collaboration entre l agent financier et les autres spécialistes est de la plus grande importance pour une gestion du risque efficace. Exercice Pour chacune des relations indiquées ci-dessous, trouvez où il pourrait y avoir un risque commun entre les fonctions ainsi que des liens de dépendance dans la gestion du risque. Relation Dépendances/interdépendances Gestion financière et opérations de programme École de la fonction publique du Canada http://www.monecole.gc.ca/ 31
Relation Dépendances/interdépendances Gestion financière et approvisionnement Gestion financière et ressources humaines Gestion financière et technologie de l information 1.5 Risques et facteurs de risque Il est important de faire la distinction entre les risques et les facteurs de risque. Habituellement, on gère le facteur de risque afin de contenir le risque. Le risque est l incertitude qui entoure les événements et les résultats pouvant influer sur l atteinte des objectifs. Un facteur de risque est une circonstance (interne ou externe) qui peut entraîner la matérialisation d un risque ou y contribuer. Il convient de noter que dans les directives du SCT, le terme «sources de risque» est utilisé pour désigner les déterminants, les facteurs et les tendances ayant une incidence sur l exposition au risque de l organisation. Exemple 1 : Supposons qu un ministère a établi l énoncé de risque suivant : «Étant donné qu environ 35 % du personnel actuel sera admissible à la retraite au cours des cinq prochaines années et que les mêmes compétences sont de plus en plus recherchées dans le secteur privé, il y a un risque que le programme ne soit pas en mesure de mettre en œuvre une stratégie d inspection efficace en l absence d un nombre suffisant d employés qualifiés.» Cet énoncé décrit à la fois le risque et le facteur de risque. Le risque est que la stratégie d inspection du ministère pourrait ne pas être efficace. Deux facteurs de risque sont mentionnés : i) les départs à la retraite attendus, qui feront diminuer le nombre d inspecteurs et ii) la concurrence accrue pour le recrutement de nouveaux employés. École de la fonction publique du Canada http://www.monecole.gc.ca/ 32
Exemple 2 : En ce qui a trait aux frais de déplacement, le ministère pourrait déterminer qu un risque réside dans la possibilité que des montants inappropriés soient inscrits dans les demandes de remboursement. Parmi les facteurs qui pourraient contribuer à ce risque, notons la possibilité i) qu un employé ne connaisse pas bien la directive sur les voyages, ii) qu un gestionnaire investi des pouvoirs de signature en vertu de l article 34 de la LGFP fasse preuve de négligence en vérifiant les demandes ou iii) qu une défaillance des contrôles permette au voyageur d accéder à sa demande de remboursement et de modifier celle-ci après qu elle a été approuvée par le gestionnaire. On peut cerner les facteurs de risque en procédant à une analyse de l environnement en matière de risque et en évaluant les éléments qui influent sur les forces, les faiblesses, les possibilités et les menaces associées aux activités qui donnent lieu à un risque. Comme il est illustré dans les exemples ci-dessus, un risque peut s accompagner de nombreux facteurs de risque. On atténue donc le risque en axant les stratégies de gestion du risque sur la gestion des facteurs de risque. Chaque facteur de risque peut nécessiter une approche différente. Discussion Supposons que votre ministère a établi l énoncé de risque suivant : «Il y a un risque que des paiements inappropriés soient effectués dans le cadre d un programme de subventions et de contributions.» Quels pourraient être les facteurs de risque associés à ce risque? (Rappelez-vous que les facteurs de risque peuvent être des circonstances internes ou externes.) École de la fonction publique du Canada http://www.monecole.gc.ca/ 33
2.0 ÉTAPE 2 ÉVALUATION L évaluation des risques doit tenir compte de la position du ministère à l égard de la gestion du risque. Certains ministères n établissent pas explicitement leur position officielle en matière de gestion du risque, mais la plupart la communiquent par l entremise du profil de risque organisationnel. 2.1 Culture du risque, goût du risque et tolérance au risque La culture du risque désigne l attitude et les comportements liés à la gestion du risque que l on retrouve dans une organisation. Par exemple, les cadres supérieurs posent-ils des questions sur la gestion des risques? Posent-ils des questions sur les leçons tirées de la mise en œuvre d un plan de gestion du risque? Le goût du risque indique le type et la gravité du risque que l organisation est prête à courir pour maximiser ses chances d atteindre ses objectifs. Par exemple, si un ministère met en œuvre une nouvelle initiative, les cadres supérieurs veulent-ils être tenus au courant des progrès réalisés (ce qui dénote une faible propension au risque) ou veulent-ils seulement être mis au courant des exceptions? La tolérance au risque, qui varie d une organisation à l autre, désigne la volonté d une organisation d accepter ou de rejeter un degré donné de risque résiduel. Après l application des mesures d intervention, c.-à-d. la mise en place de contrôles économiques, le degré de risque devrait se trouver dans les limites acceptables pour le ministère. Par exemple, a-t-on établi que tous les risques, peu importe leur ampleur, doivent être maîtrisés (ce qui dénote une faible tolérance), ou a-t-on établi des seuils d importance relative à titre d indicateurs de l étendue des contrôles requis? Exemple 1 : Supposons qu un ministère a deux programmes de contributions. Le premier est un programme établi qui existe depuis cinq ans; son processus opérationnel est bien défini, de même que les activités qu il appuie, et son modèle de financement est bien compris. Le deuxième entreprend tout juste ses activités, et vise l élaboration de méthodes de prestation de services innovatrices. Pour le premier programme, il est probable qu il y ait un cadre de gestion du risque bien compris ainsi qu un solide mécanisme d évaluation et de contrôle des risques. Pour le deuxième, la haute direction serait prête à envisager une souplesse accrue quant aux activités que les bénéficiaires peuvent mener pour répondre aux exigences en matière d innovation. Dans cet exemple, la tolérance au risque varie entre les deux programmes; dans le deuxième programme, le ministère est disposé à accepter la possibilité que les bénéficiaires mènent des activités inappropriées afin de saisir la possibilité d innovation. École de la fonction publique du Canada http://www.monecole.gc.ca/ 34
Exemple 2 : Supposons que l une des activités d un ministère soit menée en partie selon le principe du recouvrement des coûts. Ce ministère établit une politique en matière de crédit pour déterminer si une entité qui reçoit un service doit payer avant de recevoir le service. Le ministère peut juger que certains types d entités sont plus susceptibles de payer une fois le service reçu (p. ex. une organisation avec laquelle le ministère a travaillé à plusieurs reprises par le passé et qui a payé à temps) que d autres (p. ex. une entité qui demande les services pour une première fois) et donc décider d établir une politique en matière de crédit qui varie selon le type d entité. Dans cet exemple, le risque se rapporte à la question de savoir si le ministère sera payé pour les services qu il a fournis. Il existe un risque résiduel que les clients établis ne paient pas, mais le ministère est disposé à accepter (tolérer) ce risque, étant donné que la probabilité qu il se matérialise est faible. Pour les nouveaux clients, la stratégie du ministère consiste à rejeter le risque de non-paiement, ce qui dénote un degré de tolérance différent pour ce type de client. Dans le secteur public, la perception du risque joue un rôle important dans l établissement du degré de tolérance au risque et des stratégies de gestion du risque. Par exemple, il pourrait être économique de louer une limousine pour conduire quatre employés à une réunion d affaires. Or, une limousine est perçue comme un luxe. La possibilité qu un risque lié à la réputation se concrétise (p. ex. une photo des employés qui utilisent la limousine est publiée dans les journaux) pourrait l emporter sur la possibilité (réaliser des économies). Plusieurs éléments permettent de connaître la culture, le goût et la tolérance d un ministère à l égard du risque : Ton donné par la direction Quels messages la haute direction transmet-elle au sujet du risque, que ce soit par ses propos, ses écrits ou ses actes? Que se passe-t-il quand un incident à risque se produit? Quelles décisions sont prises quand les analyses indiquent que le degré de tolérance au risque établi est dépassé? Qui sera tenu responsable si quelque chose tourne mal? Politiques et procédures Une méthode clé de gestion du risque consiste à mettre en place les politiques et les procédures appropriées. Par exemple, les politiques en matière de comptabilité respectent les normes de comptabilité du Conseil du Trésor, tandis que les politiques en matière de crédit dépendent du goût du risque de la direction. Surveillance et communication Le profil de risque organisationnel est un moyen de définir les risques et de communiquer les attentes à propos de la gestion du risque. Une fois que les risques sont définis, quelqu un doit être désigné pour surveiller le risque et pour renseigner le cadre supérieur chargé de gérer le risque. Les employés qui prennent part à des activités associées aux facteurs de risque doivent être formés quant à la façon d intervenir quand le risque dans une activité s approche du seuil de tolérance. Vérification interne La vérification interne est un mécanisme important que les sous-ministres utilisent dans le cadre du plan de gestion du risque. Habituellement, les vérificateurs internes élaborent leurs plans de vérification suivant trois composantes générales : la gouvernance, les contrôles et le risque. Ils doivent choisir les sujets à vérifier en fonction du risque (si un secteur présente un risque faible, il ne vaut probablement pas la peine de consacrer des ressources à sa vérification). École de la fonction publique du Canada http://www.monecole.gc.ca/ 35
Un élément central de la vérification interne est l évaluation des contrôles par l entremise des examens et des missions de certification. Par exemple, il se peut qu un outil tel que le Cadre de responsabilisation de gestion (CRG) soit utilisé à titre de référence dans le cadre d une vérification interne des processus de gestion visant à évaluer le rendement d une organisation et à déterminer s il faut renforcer certaines pratiques afin d atteindre les objectifs fixés dans le CRG. La vérification interne, orientée par le Comité ministériel de vérification, représente donc pour le sous-ministre un moyen d évaluer les secteurs présentant un risque élevé afin de trouver des solutions et de formuler des recommandations visant à corriger la situation. Application de la Politique sur le contrôle interne du Conseil du Trésor La façon dont un ministère applique la Politique sur le contrôle interne du Conseil du Trésor est un élément important de sa culture de risque. En vertu de cette politique, les ministères doivent assurer une gestion prudente des fonds publics, veiller à la protection des biens publics et à l usage efficace, efficient et économique des ressources publiques, et présenter des rapports fiables qui montrent que les fonds publics sont utilisés de façon responsable. La politique indique également que les sous-ministres doivent veiller à la mise en place, au maintien, à la surveillance et à l examen du système ministériel de contrôle interne qui permet d atténuer les risques dans les grandes catégories suivantes : l efficacité et l efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; la fiabilité des rapports financiers; la conformité avec les lois, les règlements, les politiques et les pouvoirs délégués. La politique reconnaît que les administrateurs généraux ont toujours été chargés de s assurer que les contrôles internes sont régulièrement examinés par rapport au risque en veillant à ce que ceux-ci soient proportionnels aux risques qu ils atténuent. Les administrateurs généraux s attendent à ce que leur CPF leur fournisse des conseils appropriés à cet égard. 2.1 Matrice des risques (diagramme d exposition aux risques) De nombreux ministères utilisent une matrice des risques (aussi appelée «diagramme d exposition aux risques») pour fournir une orientation quant à la tolérance au risque et pour aider les gestionnaires à déterminer si des contrôles additionnels sont requis pour gérer le risque résiduel. Cette matrice montre le lien entre la probabilité qu un risque se concrétise et l incidence possible de celui-ci s il devait se matérialiser. À cette fin, on utilise souvent un tableau 3x3 (c.-à-d. trois degrés de probabilité et trois degrés d incidence), mais certains ministères utilisent un tableau 5x5. La matrice des risques donne une orientation quant au type d intervention attendu pour chaque combinaison de probabilité et d incidence, comme il est illustré ci-dessous. Un exemple de matrice des risques d un ministère se trouve à la page suivante. Les éléments du diagramme d exposition aux risques sont expliqués ci-dessous. Les ministères définissent ce que signifie chaque niveau dans la matrice. Voici un exemple de définition des trois degrés de l échelle de probabilité : École de la fonction publique du Canada http://www.monecole.gc.ca/ 36
1 Faible 2 Moyenne 3 Élevée Ne devrait pas se produire Pourrait se produire Devrait se produire De même, les ministères définissent ce qu ils entendent par chaque degré d incidence. Étant donné que l incidence peut avoir plusieurs facettes (aspect financier, aspect opérationnel, aspect juridique et aspect lié à la réputation, effets sur les clients, etc.), le ministère peut établir le degré d incidence par rapport à chaque catégorie de risque, comme dans l exemple ci-dessous. Pertes financières 3. Élevée Perte d argent ou de biens d une valeur de plus de 500 000 $ 2. Moyenne Perte d argent ou de biens d une valeur de plus de 100 000 $ et de moins de 500 000 $ 1. Faible Perte d argent ou de biens d une valeur de moins de 100 000 $ Effet opérationnel Perturbation importante des services essentiels touchant un nombre considérable de Canadiens Lacunes importantes dans l atteinte des objectifs et des résultats attendus Perturbation modérée des services pendant une courte période Écart de 15 % ou moins par rapport aux objectifs et aux résultats attendus Perturbation mineure de certains services pendant une très courte période Écart de 10 % ou moins par rapport aux objectifs et aux résultats attendus École de la fonction publique du Canada http://www.monecole.gc.ca/ 37
Une fois que les différents degrés de probabilité et d incidence sont établis, l outil suivant peut servir à classer les risques et à déterminer le degré d intervention approprié ainsi que les personnes qui doivent être informées ou qui doivent intervenir. Incidence 3. Élevée 6. Des interventions importantes sont requises. 2. Moyenne 3. Le risque peut être accepté, mais il doit être géré à l aide de mesures d atténuation et de surveillance bien définies. 1. Faible 1. Le risque est en deçà du seuil de tolérance. Accepter le risque et le gérer par des procédures habituelles d atténuation et de surveillance. 8. Les contrôles actuels sont insuffisants - des procédures d atténuation et de surveillance précises sont nécessaires pour faire face aux risques résiduels. La participation de la haute direction est essentielle (SMA ou comité de gestion). 5. Le risque est généralement au-delà du seuil de tolérance. Les contrôles actuels sont insuffisants des procédures d atténuation et de surveillance précises sont nécessaires pour faire face aux risques résiduels. Demander l approbation du DG et informer le SMA. 2. Le risque est tolérable à court terme, mais il doit être géré à long terme à l aide des procédures habituelles ou de procédures particulières d atténuation et de surveillance. Informer le gestionnaire ou le directeur. 9. Les contrôles actuels sont insuffisants des procédures d atténuation et de surveillance précises sont nécessaires pour faire face aux risques résiduels. Une forte participation de la haute direction est essentielle (SMA ou comité de gestion). 7. Le risque est au-delà du seuil de tolérance. Les contrôles actuels sont insuffisants il faut accroître de toute urgence le nombre de procédures d atténuation et de surveillance pour faire face aux risques résiduels. Demander l approbation du DG et informer le SMA. 2. Le risque est tolérable à court terme, mais il doit être géré à long terme à l aide des procédures habituelles ou de procédures particulières d atténuation et de surveillance. Informer le gestionnaire ou le directeur. 1. Faible 2. Moyenne 3. Élevée Probabilité 38 École de la fonction publique du Canada http://www.monecole.gc.ca/
3.0 ÉTAPE 3 INTERVENTION Une fois que les risques ont été cernés et évalués, il faut déterminer l intervention qui s impose. Deux notions se rapportent à l intervention : Le risque inhérent est le risque que l on associe à une activité sans tenir compte de l effet des contrôles; c.-à-d. si aucune mesure d atténuation n est prise, quelles sont la probabilité et l incidence attendues du risque? Le risque résiduel est le risque qui demeure après que l on a pris en considération les contrôles et les mesures d atténuation en place. Il se peut que les mesures ne permettent de gérer qu une partie du risque inhérent, et donc que le risque résiduel doive faire l objet d autres mesures d atténuation ou de surveillance. L intervention est liée à la tolérance au risque. S il est relativement peu coûteux de gérer un risque ou que les mesures à prendre comportent peu de conséquences négatives (p. ex. il n y a aucun effet sur les normes de service du ministère), il n y a pas vraiment de raison de tolérer le risque, et donc, normalement, celui-ci est atténué. Par contre, quand il est trop compliqué d atténuer un risque ou que les coûts ou les conséquences de l atténuation du risque l emportent sur les avantages, il faut envisager d autres solutions. Il existe un certain nombre de solutions d usage pour gérer le risque, et plus d une peut être utilisée en même temps : Atténuer le risque Intervenir pour réduire la probabilité ou l incidence du risque. Il peut s agir de mettre en place des contrôles préventifs, par exemple exiger une signature d approbation avant de procéder à une transaction ou fournir de la formation, ou des contrôles de détection, comme les rapprochements ou la rotation des fonctions. Transférer le risque Dans le secteur privé, une stratégie courante de transfert du risque consiste à souscrire une assurance, une solution qui ne s offre pas aux organisations du secteur public. Les possibilités de transfert dépendent de la nature du ministère. Par exemple, un organisme de petite taille peut choisir de demander à un ministère de plus grande taille de lui fournir un service (p. ex. passation de marchés) pour composer avec le risque (l organisme de petite taille demeure responsable, mais l effort est transféré à une autre entité ayant plus d expérience). Éliminer le risque Si le risque est assez important et ne peut être atténué, la meilleure solution pourrait être de l éviter. La plupart des ministères ne peuvent pas cesser d offrir un service prévu par la loi, mais ils peuvent tout de même éliminer certaines activités. Par exemple, si aucune des avenues envisagées pour la réalisation d un projet n a de chance raisonnable de réussite, il serait peut-être préférable de ne pas y consacrer de ressources. Accepter la menace ou saisir l opportunité Cette solution est particulièrement appropriée quand le risque comporte des opportunités, par exemple un gain d efficience. Elle peut également être appropriée dans le cas où le ministère ne dispose d aucune façon pratique de gérer le risque, p. ex. le risque d une catastrophe naturelle. Le cas échéant, l acceptation du risque peut nécessiter l élaboration d un plan de continuité des opérations dans l éventualité où le risque se concrétise. École de la fonction publique du Canada http://www.monecole.gc.ca/ 39
Il convient de noter que la tolérance au risque est prise en compte après que l on a déterminé si le risque peut être géré, et dans l affirmative, comment il peut l être. 3.1 Les contrôles internes en tant que mesures d atténuation du risque Les contrôles internes sont une forme de mesure d atténuation; ils ne devraient être mis en place que s ils permettent de gérer une forme ou une autre de risque. Par exemple : Les ministères doivent respecter les normes comptables du Conseil du Trésor de façon à ce que les renseignements financiers soient transparents, compréhensibles et cohérents. Une signature en vertu de l article 34 et une signature en vertu de l article 33 sont nécessaires pour les opérations de paiement afin de réduire le risque de fraude. Seules les personnes désignées peuvent consigner les opérations financières, de façon à assurer l exactitude et la fiabilité des renseignements financiers. Pour surveiller adéquatement les facteurs de risque sous-jacents, il est important que les agents financiers sachent à quels risques se rapportent les contrôles. Par exemple, à quels risques se rapportent les contrôles suivants? vérification des demandes de remboursement de frais de déplacement rapprochement des soldes de comptes prévisions financières attestation par le DPF d un mémoire au Cabinet nécessité pour tous les SMA de signer une lettre de déclaration sur les Comptes publics Il est également important de noter que tous les contrôles : Ont un coût, que ce soit le coût associé au temps consacré par les employés pour le mettre en œuvre (examiner les opérations, effectuer des rapprochements, analyser des renseignements, etc.), les coûts externes (p. ex. embauche d un ingénieur pour superviser la construction d un nouveau laboratoire) ou un autre type de coût. Imposent un fardeau (p. ex. obligation pour les bénéficiaires de contributions de présenter des rapports d étape sur les activités réalisées et les dépenses engagées). Limitent les mesures pouvant être prises; par exemple, une carte d achat peut seulement être utilisée pour acheter des biens dont la valeur est inférieure à un certain seuil. Peuvent diminuer l efficacité; par exemple, un contrôle exigeant qu un appel d offres soit lancé retarde le début des travaux (comparativement à un marché à fournisseur unique). Le type de contrôles internes dépend des coûts liés à leur mise en œuvre et à leur maintien et de la mesure dans laquelle ils réduisent la probabilité et l incidence des risques; autrement dit, le coût des mesures d atténuation et les avantages qui en découlent sont mis en balance. Les contrôles internes permettent de gérer le risque inhérent, mais peuvent laisser un risque résiduel. Exemple 1 : Les intervenants externes ont besoin de renseignements sur la situation financière d un ministère. Un risque inhérent pourrait être que certaines opérations inscrites contiennent 40 École de la fonction publique du Canada http://www.monecole.gc.ca/
des erreurs, de sorte que les états financiers sont trompeurs. Des contrôles tels que l application des politiques comptables généralement acceptées, l utilisation du plan comptable ou le rapprochement des comptes sont utilisés pour réduire le risque que les renseignements soient trompeurs. Étant donné que tout contrôle comporte des coûts, un seuil d importance relative pourrait être imposé de sorte que les inexactitudes en deçà de ce seuil soient tolérées, c.-à-d. qu il demeure un risque résiduel que les opérations de faible valeur ne soient pas inscrites de façon exacte. Exemple 2 : Pour vérifier les factures, il faut comparer celles-ci aux marchés auxquels elles se rapportent afin de veiller à ce que le paiement demandé soit conforme aux obligations contractuelles. Un gestionnaire investi des pouvoirs délégués de signature peut demander à un employé d effectuer l examen préalable nécessaire. Cependant, si cet employé ne comprend pas entièrement les modalités du marché ou les éléments qu il doit vérifier, il se peut que la procédure utilisée par le gestionnaire ne suffise pas pour fournir l assurance nécessaire, ce qui crée un risque résiduel qui n est peut-être pas bien compris. 3.2 Équilibre entre les contrôles, les coûts et les répercussions sur les opérations Les coûts liés à la prise de mesures d atténuation des risques, notamment les contrôles internes, comprennent non seulement les sommes dépensées par le ministère pour élaborer, mettre en œuvre et surveiller les mesures d atténuation, mais aussi d autres coûts, comme ceux engagés par les entités externes et les coûts non financiers. Parmi les coûts non financiers, il pourrait y avoir l effet négatif sur la réputation du ministère. Par exemple, si le ministère donne l impression d imposer un nouveau fardeau aux intervenants, il pourrait être moins à même d exécuter ses programmes de façon efficace. L imposition de tout contrôle (ou de toute mesure d atténuation des risques) requiert que l on établisse un équilibre entre le coût et l incidence sur les opérations de programme, et la mesure dans laquelle le risque est réduit. Souvent, des compromis s imposent. Par exemple, il y a un risque que le bénéficiaire d un financement sous forme de contributions dépense les fonds pour des éléments qui ne sont pas admissibles. Le ministère peut envisager des contrôles qui élimineraient complètement le risque inhérent en empêchant celui-ci de se matérialiser (p. ex. faire en sorte que les vérificateurs ministériels examinent toutes les opérations consignées par le bénéficiaire, ou exiger que le bénéficiaire embauche des vérificateurs externes pour examiner toutes les opérations). Or, le ministère considèrerait probablement que ces contrôles seraient très coûteux et ralentiraient considérablement les transferts de fonds au bénéficiaire (ce qui créerait de nouveaux risques). Il pourrait alors envisager un contrôle de rechange qui réduirait le risque inhérent, mais laisserait un certain risque résiduel (p. ex. adopter une nouvelle exigence plus économique selon laquelle tous les bénéficiaires doivent présenter des rapports financiers aux fins d examen par un agent de programme avant que le paiement ne soit effectué). Dans certains cas, un contrôle «après coup» peut être utilisé afin d éviter les effets négatifs sur les opérations ou pour éviter qu un autre risque se matérialise. École de la fonction publique du Canada http://www.monecole.gc.ca/ 41
Exemple 1 : Dans le cadre d une entente de contributions, des paiements anticipés sont effectués afin de fournir au bénéficiaire les fonds nécessaires pour réaliser les activités approuvées à l appui des objectifs du ministère. Chaque trimestre, le ministère reçoit des relevés comptables, qu il examine pour s assurer qu ils sont conformes à l entente. Un certain degré de risque est toléré dans le cadre de l entente, et celui-ci est contrôlé en n effectuant le paiement final qu une fois que toutes les conditions sont satisfaites. Exemple 2 : Un ministère fournit des bons de taxi à ses employés pour leurs déplacements locaux et reçoit une facture mensuelle de la compagnie de taxi. Si le ministère attendait que chaque gestionnaire de centre de responsabilité approuve sa partie du paiement avant le règlement de la facture, il ferait face à un nouveau risque, c.-à-d. qu il pourrait être long avant d obtenir toutes les approbations en vertu de l article 34 et donc, le ministère pourrait devoir payer de l intérêt sur une facture en retard (un risque financier); ou encore, la compagnie de taxi pourrait refuser d accepter les bons de taxi à l avenir (un risque opérationnel). Compte tenu de la relation d affaires continue qu il entretient avec la compagnie de taxi, le ministère paie la facture et obtient les signatures en vertu de l article 34 après coup, étant donné qu il pourra apporter les ajustements nécessaires à une date ultérieure. Certains risques sont considérés comme suffisamment importants pour qu on ait toujours recours à des contrôles internes précis, peu importe le degré de risque. Voici des exemples de ces contrôles : La séparation des fonctions, c.-à-d. un examen indépendant des travaux visant à empêcher une personne de mener une transaction cruciale du début à la fin, comme un achat et un paiement. La séparation des fonctions est un contrôle clé dans la prévention de la fraude. Les pouvoirs de signature en matière de finances, c.-à-d. que chaque transaction doit être approuvée en vertu de l article 34 de la LGFP par une personne investie des pouvoirs délégués adéquats. Les rapprochements de comptes, c.-à-d. qu un rapprochement périodique des comptes permet de repérer les erreurs, les omissions et même les cas de fraude. Par exemple, le rapprochement quotidien des dépôts avec les comptes du receveur général permet de vérifier que les fonds ont bien été déposés. Vérification rigoureuse des transactions délicates, comme les paiements de frais de déplacement, d accueil et d abonnement. Les agents financiers surveillent l efficacité des contrôles pour s assurer que les risques sont suffisamment bien gérés (c.-à-d. que le contrôle fonctionne comme prévu) et pour déterminer s il existe des risques résiduels nécessitant une intervention. 42 École de la fonction publique du Canada http://www.monecole.gc.ca/
3.3 Plan de gestion du risque Une fois que les risques sont cernés et évalués et que les interventions appropriées ont été déterminées, il est efficace de consigner ces renseignements dans un plan de gestion du risque pour gérer les risques, communiquer les moyens qui seront utilisés pour y parvenir, et assurer une surveillance continue des événements ou des circonstances qui pourraient changer la probabilité et l incidence d un risque. Un plan de gestion du risque peut comprendre les éléments suivants : Une description des risques et des événements de risque, des mesures d atténuation et des risques résiduels. Les risques sont souvent consignés dans un registre des risques. Un énoncé des responsabilités relatives à la gestion du risque. Les ressources nécessaires pour l exécution du plan de gestion du risque. Les exigences en matière de communication. Les mesures de rendement qui pourraient être utilisées pour évaluer l efficacité des interventions. Les exigences en matière de surveillance continue. École de la fonction publique du Canada http://www.monecole.gc.ca/ 43
4.0 ÉTAPE 4 COMMUNICATION La communication sur les risques est très importante quand un risque est géré par plus d une partie de l organisation. La communication comprend le transfert ou l échange de renseignements entre intervenants au sujet de l existence, de la nature, de la forme, de la gravité ou de l acceptabilité des risques. Elle comprend également la surveillance et l examen. La communication sur les risques peut prendre plusieurs formes : Dans le cadre de l élaboration du profil de risque organisationnel, quand des consultations sont menées auprès des gestionnaires concernés pour faire en sorte qu ils comprennent bien les risques et acceptent leurs responsabilités quant à la gestion de ceux-ci. Pendant la formation sur la délégation des pouvoirs, quand les gestionnaires passent en revue les exigences des lois et des politiques et ont l occasion de mieux comprendre les types de contrôles mis en place pour les divers types de risque. Dans le cadre des évaluations du rendement, quand les gestionnaires ont l occasion de communiquer des renseignements sur les risques les plus préoccupants, sur les secteurs ou un certain degré de tolérance au risque est acceptable, et sur les mesures de surveillance et de suivi qui sont nécessaires. Pendant les examens budgétaires, par exemple, si un conseiller en gestion financière avise un cadre supérieur de la possibilité d un déficit ou d un surplus dans les budgets de centres de responsabilité et lui recommande des mesures visant à s assurer que les contrôles appropriés sont en place. Quand un employé accepte la responsabilité relative à certains types de transactions, par exemple quand il consent à être titulaire d une carte d achat et à utiliser celle-ci. 44 École de la fonction publique du Canada http://www.monecole.gc.ca/
5.0 ÉTAPE 5 SURVEILLANCE N importe quel plan, y compris un plan de gestion du risque, doit faire l objet d une surveillance visant à s assurer qu il demeure approprié et adéquat. Par exemple : Les risques indiqués dans le plan sont-ils encore présents? La probabilité et l incidence des risques ont-elles changé en raison de nouvelles circonstances ou activités? Les mesures indiquées sont-elles toujours les plus appropriées? La capacité d intervention du ministère a-t-elle changé? Les employés concernés comprennent-ils les mesures d atténuation qu ils doivent prendre et ce qu ils doivent faire au cas où un risque se matérialiserait? Les mesures d atténuation et les autres formes d intervention ont-elles eu des conséquences inattendues? De nouveaux risques sont-ils apparus? Est-ce que des leçons ont été tirées? en général, la personne responsable d un risque est également responsable de sa surveillance. Il est important que la responsabilité à l égard de la surveillance de chacune des catégories de risques soit clairement établie. Par exemple, à qui revient la responsabilité globale de surveiller l exactitude des rapports financiers? À qui revient la responsabilité globale de surveiller les risques associés aux bénéficiaires de contributions? École de la fonction publique du Canada http://www.monecole.gc.ca/ 45
CLÔTURE ACTIVITÉ DE CLÔTURE Dans le tableau ci-dessous, nommez deux ou trois risques qui pourraient se produire dans le cadre de vos fonctions actuelles ainsi que des stratégies d atténuation que vous pourriez utiliser pour les gérer. Risque Mesure d atténuation Questions de réflexion personnelle ou de discussion avec les collègues : 46 École de la fonction publique du Canada http://www.monecole.gc.ca/
Dans mon secteur fonctionnel, quels sont les types de risques les plus courants qui pourraient se matérialiser? Quelles méthodes de surveillance sont utilisées de façon appropriée pour gérer ces risques? Si je constate qu un risque se matérialise ou que la probabilité qu il se matérialise augmente, quelles mesures dois-je prendre et qui dois-je informer, et avec quelles personnes dois-je communiquer? Y a-t-il des risques pour lesquels je dois assurer la liaison ou la coordination avec d autres spécialistes fonctionnels comme les agents d approvisionnement, les agents de la TI ou les agents des ressources humaines? Quels renseignements mon supérieur doit-il me fournir pour que je comprenne mieux la gestion du risque dans le cadre de mon travail? École de la fonction publique du Canada http://www.monecole.gc.ca/ 47
DIAPOSITIVES UTILISÉES DANS LE COURS Des copies des diapositives utilisées dans le cours vous sont fournies dans cette section; vous pouvez vous en servir et vous y référer. Vous pouvez aussi y ajouter vos propres notes au fil des séances. École de la fonction publique du Canada http://www.monecole.gc.ca/ 49
École de la fonction publique du Canada http://www.monecole.gc.ca/ 51