J u i n 2 0 1 0. C o n s e i l n a t i o n a l d e r e c h e r c h e s d u C a n a d a. V é r i f i c a t i o n i n t e r n e d u C N R C



Documents pareils
Vérification du Cadre de contrôle de la gestion financière Achats de TI

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Conseil de recherches en sciences humaines du Canada

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Contrôle interne et organisation comptable de l'entreprise

Politique de gestion des risques

Guide de travail pour l auto-évaluation:

LE CONTRÔLE INTERNE GUIDE DE PROCÉDURES

Banque européenne d investissement. Charte de l Audit interne

Poste : AGENT AUX ACHATS. Conditions d accès à la profession : Tâches : ACHATS

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Audit des contrôles de gestion de base. Secteur de la vérification interne

Vérification des procédures en fin d exercice

Charte d audit du groupe Dexia

Appel à Manifestation d'intérêt

Rapport d'audit étape 2

Compte rendu des délibérations, y compris les motifs de décision

Annexe sur la maîtrise de la qualité

Enquête 2014 de rémunération globale sur les emplois en TIC

Fiche méthodologique Rédiger un cahier des charges

Cadre de surveillance

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F

Lignes directrices à l intention des praticiens

LIGNE DIRECTRICE SUR LA CONFORMITÉ

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Programme des services aux familles des militaires. Contrôle de conformité et d assurance. Exercice financier

Jusqu à trois prix seront décernés annuellement et ce dans les deux catégories suivantes.

BUREAU DE LA SÉCURITÉ DES TRANSPORTS DU CANADA

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Audit du cadre de gestion du programme de développement de technologies d exploration avancée ( )

L Office national de l énergie a produit la version finale du rapport d audit du programme de gestion de l intégrité d Enbridge.

Gestion du capital Rapport de vérification final Rapport n o 13/13 17 février 2014

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

AGENCE DE LA FONCTION PUBLIQUE DU CANADA ACCÈS À L INFORMATION ET PROTECTION DES RENSEIGNEMENTS PERSONNELS

Affaires autochtones et Développement du Nord Canada. Rapport de vérification interne

Université de Lausanne

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

F150. Gestion du risque pour professionnels des finances MANUEL DU PARTICIPANT. Ébauche 18 février 2013 Version 6

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

Politique de sécurité de l information

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

Annexe A de la norme 110

plate-forme mondiale de promotion

Annexe - document CA 118/9. Termes de référence. Audit fonctionnel et organisationnel de l OTIF

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Normes pour la pratique professionnelle de l'audit interne

Cadre de travail sur les relations avec les gouvernements et la défense des droits. Société canadienne de la sclérose en plaques

Cadres de contrôle de gestion des programmes d exécution par des tiers

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

Panorama général des normes et outils d audit. François VERGEZ AFAI

Qu est-ce que le ehealthcheck?

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

VÉRIFICATION DES PRÊTS À L AFFECTATION. 31 janvier Direction de la vérification (SIV)

L assurance de la qualité à votre service

CADRE DE TRAVAIL. Mai Autorité des marchés financiers - Mai 2008 Page 1

Modernisation et gestion de portefeuilles d applications bancaires

PLAN STRATÉGIQUE Institut de la gestion financière du Canada (igf*fmi)

APERÇU DES OBLIGATIONS

INTRODUCTION DES NORMES

Brève étude de la norme ISO/IEC 27003

THEORIE ET CAS PRATIQUES

Rapport de vérification interne du cadre de contrôle de l accès aux réseaux informatiques. Janvier 2010

DESCRIPTION DE POSTE. Directeur, Intégrité des programmes (IP)

Série sur les Principes de Bonnes Pratiques de Laboratoire et Vérification du Respect de ces Principes Numéro 4 (version révisée)

Plan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011

Note de mise en œuvre

Orientations sur la solvabilité du groupe

Vérification de la prestation des services ministériels à l AC du MAECI RAPPORT FINAL

Introduction Objectif et portée de la vérification Opinion de la Vérification interne... 3

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

RÈGLEMENT SUR L'ATTESTATION DE L'INFORMATION PRÉSENTÉE DANS LES DOCUMENTS ANNUELS ET INTERMÉDIAIRES DES SOCIÉTÉS

1 Points du champ d'audit «Documentation des risques selon l'art. 196 et l'art. 97 OS»

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

GUIDE FISCAL RELATIF AUX CARTES D ACHAT AU CANADA

Guide No.2 de la Recommandation Rec (2009).. du Comité des Ministres aux États membres sur la démocratie électronique

PHP 2 Pratique en santé publique fondée sur des données probantes

Énoncé de la politique et des règles de placement de la trésorerie (ÉPRPT)

Politique et Standards Santé, Sécurité et Environnement

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

ORGANISATION DES NATIONS UNIES POUR L EDUCATION, LA SCIENCE ET LA CULTURE CONVENTION SUR LA PROTECTION DU PATRIMOINE CULTUREL SUBAQUATIQUE

Poste : GESTIONNAIRE DE STOCKS. Conditions d accès à la profession : Tâches :

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

MARCHÉ COMMUN DE L'AFRIQUE ORIENTALE ET AUSTRALE

Annexe B Rapport d état détaillé relatif aux recommandations depuis 2010

ECAP : Le niveau Accréditation du programme d études des comptables généraux accrédités

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

Guide pour la rédaction du rapport d auto-évaluation

Transcription:

C o n s e i l n a t i o n a l d e r e c h e r c h e s d u C a n a d a Vérification de la gestion des risques V é r i f i c a t i o n i n t e r n e d u C N R C J u i n 2 0 1 0 Juin 2010 i

1.0 Sommaire Contexte Ce rapport de vérification présente les résultats de la vérification de la gestion des risques du Conseil national de recherches du Canada (CNRC). Le président a approuvé la décision de mener cette vérification sur la recommandation du Comité de la vérification, de l évaluation et de la gestion des risques le 19 mars 2008 dans le cadre du Plan de vérification interne axé sur les risques pour 2008-2009 à 2010-2011 du CNRC 1. La vérification a été effectuée de février 2009 à août 2009. Objectif, portée et méthodologie de la vérification La vérification vise à assurer la conformité du cadre de gestion des risques d entreprise du CNRC à la Politique sur la gestion des risques du Conseil du Trésor, ainsi qu aux directives et aux lignes directrices connexes. Cet objectif a permis de formuler des observations en ce qui concerne la mesure dans laquelle les politiques et les directives du CNRC en matière de gestion des risques d entreprise répondent aux exigences du Conseil du Trésor et la pertinence du cadre de contrôle de gestion mis en place au CNRC. La vérification a porté sur la façon dont le cadre de gestion des risques d entreprise a été mis en œuvre et est appliqué dans l'organisation ainsi que dans un échantillon composé de cinq instituts, directions et programmes (IDP). L'équipe de vérification a aussi examiné la façon dont le cadre a été intégré aux activités de gestion, notamment à la planification des activités et aux processus décisionnels. Le choix des IDP a été effectué à la lumière d analyses des risques et des contrôles faites à l'étape de la planification de la vérification, mais aussi de façon à assurer qu aucun IDP à l'échelle du 1 En janvier 2009, ce comité du Conseil a été remplacé par le Comité de vérification ministériel quand le Conseil du Trésor en a nommé les membres. Juin 2010 1

CNRC ne soit vérifié plus souvent que les autres et qu aucun ne soit laissé de côté, à cause de sa petite taille, durant le cycle de vérification pluriannuel du CNRC. L'équipe de vérification a scruté les documents du CNRC portant sur la gestion des risques (c est-à-dire le profil de risque de l'organisation, les plans d activités du CNRC et des IDP ainsi que les mandats des divers comités de gouvernance), et elle a également effectué des visites dans les IDP et interviewé des gestionnaires et des employés afin d évaluer la mesure dans laquelle les principes de gestion des risques ont été intégrés dans les activités du CNRC. La vérification a été menée en appliquant une série de critères de vérification détaillée tenant compte de l'objectif de la vérification, en fonction desquels nous avons formulé des observations, des évaluations et des conclusions. Ces critères de vérification découlent principalement du Cadre de gestion intégrée du risque du Conseil du Trésor (2001) et de la version provisoire de Contrôles de gestion fondamental : un guide pour les vérificateurs internes (2007) du Bureau du contrôleur général. Opinion et conclusion de la vérification Sous réserve des restrictions associées aux échantillons et aux procédures de vérification exécutées, nous constatons que le cadre de gestion des risques du CNRC est généralement adéquat 2, en ce sens qu il respecte la Politique sur la gestion des risques du Conseil du Trésor ainsi que les directives et lignes directrices connexes. Nous avons trouvé les possibilités d amélioration continues suivantes : élaborer et officialiser un cadre de gestion des risques plus exhaustif; appliquer plus systématiquement les lignes directrices de gestion des risques dans l'ensemble du CNRC et les intégrer de façon approfondie dans ses processus de planification des activités; et élaborer et intégrer les processus et outils officiels d évaluation du contrôle afin d atténuer les risques résiduels majeurs. 2 Voir l'annexe pour consulter la liste des notes globales proposées Juin 2010 2

On retrouve dans les pratiques de gestion des risques du CNRC tous les éléments fondamentaux qui caractérisent les organisations matures et bien gérées. Le CNRC a un cadre de gestion des risques depuis 2005. Le profil de risque de l'organisation est examiné et mis à jour chaque année; les risques sont pris en compte durant l'établissement des plans d activités annuels du CNRC et des IDP; et dans la plupart des IDP que nous avons examinés, nous avons trouvé des preuves documentées que les risques sont pris en compte dans le choix des projets de recherche. Les attentes en ce qui concerne l'intégration des principes de gestion des risques sont communiquées et comprises au niveau de l'organisation et des IDP. Le CNRC n a pas de politique officielle de gestion des risques. Le guide de gestion des risques affiché sur le site intranet du CNRC constitue la principale source documentée de son cadre de gestion des risques. Ce guide répond à la plupart des exigences du Conseil du Trésor, mais il doit décrire de façon plus explicite et plus exhaustive toutes les activités et obligations en matière de gestion des risques, notamment la tolérance aux risques du CNRC, le modèle de gouvernance (c est-à-dire les rôles et les responsabilités) ainsi que les lignes directrices expliquant comment déterminer et partager l'information sur les risques. Les risques d entreprise sont évalués et traités chaque année lors de l'exercice annuel de profilage des risques. Les IDP doivent évaluer et éliminer les risques au moment d établir leur plan annuel d activités, mais ceux que nous avons examinés n utilisent pas systématiquement le processus, les méthodes et les outils présentés dans le guide de gestion des risques du CNRC. Il serait possible d améliorer la situation en établissant des renvois clairs entre le guide et les outils du processus de planification des activités et le Guide de gestion des risques afin d assurer la qualité et la communication de l'information sur les risques. Enfin, il serait possible d améliorer les pratiques de gestion des risques du CNRC en créant un module officiel d évaluation des mécanismes de contrôle dans le processus Juin 2010 3

d évaluation des risques. Nous avons constaté que ni l'organisation ni les cinq IDP que nous avons examinés n ont de processus structuré ou de lignes directrices pour déterminer et évaluer les mécanismes de contrôle. Les mécanismes de contrôle sont examinés au moment d évaluer le degré d exposition aux risques résiduels attribué aux risques organisationnels dans le cadre du processus de profilage des risques de l'organisation, mais les IDP ne le font pas de façon systématique et peut-être même pas du tout. Recommandations (dans l'ordre de priorité) 1. Le CNRC devrait articuler et approuver officiellement un cadre exhaustif de gestion des risques qui englobe ses activités et obligations liées à la gestion des risques, c est-à-dire : préciser les attentes envers les cadres supérieurs; énoncer les rôles et responsabilités spécifiques de tous les employés, gestionnaires et comités; établir une méthode commune pour cerner et communiquer l'information sur les risques, précisant les exigences en matière de communication aux échelons supérieurs et la tolérance aux risques; articuler une stratégie de transfert des connaissances et de formation des employés; et énumérer point par point les exigences en matière de surveillance du cadre afin d assurer l'amélioration continue. (Priorité élevée) Réponse de la direction du CNRC : Le CNRC doit se doter d un cadre général de gestion des risques pour aller de l'avant et définir clairement les attentes et les responsabilités en matière de GRI. À cette fin, la Direction de la stratégie et du développement consultera le CHD et les cadres supérieurs du CNRC afin de rédiger un document approprié pour examen et approbation. Le Cadre de gestion des risques clarifiera les attentes et aidera la haute direction et les gestionnaires du CNRC à mieux faire comprendre et à faire appliquer de façon plus systématique la GRI dans toute l'organisation. Juin 2010 4

2. Le CNRC devrait articuler et mettre en œuvre une stratégie afin d améliorer l'application des lignes directrices de gestion des risques dans les IDP durant le processus de planification des activités afin d assurer la qualité de l'information sur les risques ainsi que leur communication systématique. Cette stratégie devrait à tout le moins comporter des renvois explicites aux consignes de planification des activités données dans le Guide de gestion des risques du CNRC. (Priorité moyenne) Réponse de la direction du CNRC : Les lignes directrices pour l'établissement des plans d activités de 2010-2011 comportaient un renvoi explicite aux ressources de gestion des risques qui se trouvent sur le site intranet, entre autres outils, le guide de gestion des risques. La Direction de la stratégie et du développement étudiera également et mettra en œuvre, le cas échéant, d autres façons afin de sensibiliser les IDP aux outils et ressources de GIR mis à leur disposition. 3. Au moment d élaborer son Cadre de gestion des risques, le CNRC devrait insister sur l'importance de déterminer systématiquement les mécanismes de contrôle qui existent afin d évaluer les risques résiduels plutôt qu uniquement les risques inhérents. Réponse de la direction du CNRC : Le CNRC évalue déjà les mécanismes de contrôle au moment où il établit le profil de risque de l'organisation et il en tient compte dans le processus de priorisation des risques. Juin 2010 5

L'évaluation des mécanismes de contrôle et des risques résiduels fera partie de l'élaboration du Cadre de GR dont il est question à la recommandation 1. Énoncé d assurance En ma qualité de dirigeante principale de la vérification, des procédures de vérification appropriées et suffisantes ont été suivies et assez d éléments probants ont été recueillis pour étayer l'exactitude des conclusions présentées ici. Ces conclusions reposent sur une comparaison des situations telles qu elles existaient alors, aux critères de vérification. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes de vérification interne du Conseil du Trésor, et les procédures utilisées respectent les normes professionnelles de l'institut des vérificateurs 3. Jayne Hinchliff-Milne, CMA, directrice principale de la vérification Membres de l'équipe de vérification du CNRC 4 : Irina Nikolova, F.C.C.A, CIA, CISA 3 Même si la vérification a été réalisée conformément aux normes internationales pour l'exercice professionnel de la vérification interne, le service de la vérification interne du CNRC n'a pas fait l'objet d'une évaluation externe une seule fois au cours des cinq dernières années, tel qu'il est exigé. 4 Pour épauler son équipe de vérification, le CNRC avait retenu les services d experts en gestion intégrée des risques qui sont aussi des spécialistes de la vérification. Juin 2010 6

Annexe : Évaluations globales possibles Attention de la direction requise : Il existe des questions importantes qui méritent l'attention de la direction. Améliorations nécessaires : Certaines zones d'application ou certains processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC, mais il existe de nombreuses lacunes. Adéquate : La plupart des zones d'application ou des processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC, mais il existe des possibilités d amélioration continue. Élevée : Toutes les zones d application ou tous les processus sont conformes aux politiques et aux directives du gouvernement du Canada et du CNRC. Aucun secteur d amélioration n a été relevé. Juin 2010 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back