B.6 Politique sur la résolution des risques

Contexte

  1. Pour chaque audit, l’Équipe de la revue des pratiques et de l’audit interne (RPAI) relève les déficiences du contrôle relatives aux risques et les possibilités d’amélioration des processus. Les déficiences et les améliorations des processus sont passées en revue par la direction, au niveau hiérarchique approprié, afin de trouver une solution et établir des plans d’action. La direction peut parfois être en désaccord avec une observation (p. ex. elle peut choisir d’accepter le risque décrit dans la déficience). Dans un tel cas, l’Équipe de la RPAI revoit le niveau de risque pour déterminer si le risque accepté dépasse le niveau d’appétence au risque de l’organisation.

Étendue de la politique

  1. La présente politique s’applique à toute observation ou amélioration proposée pour laquelle la direction a choisi d’accepter le risque connexe plutôt que de corriger la déficience et, de l’avis de la fonction d’audit interne, le risque accepté dépasse le niveau d’appétence au risque de l’organisation.

Politique

  1. Dans les cas où un risque est accepté par la direction plutôt que résolu, l’Équipe de la RPAI examinera la probabilité que le risque survienne et son incidence sur l’organisation le cas échéant. Si l’incidence sur le Bureau est jugée importante, le dirigeant principal de l’audit interne (DPAI) communiquera avec le chef de service concerné pour discuter des mesures d’atténuation possibles. Si le DPAI et le chef de service sont incapables de s’entendre au sujet du risque important, le DPAI examinera la question avec le vérificateur général. Ce dernier pourra alors régler la question ou, de concert avec le DPAI, la porter à l’attention du Comité d’audit, pour poursuivre la discussion.

  2. Le Comité d’audit recommandera au vérificateur général d’accepter le risque ou de l’atténuer. Si le Comité d’audit décide de ne pas accepter le risque, le DPAI indiquera au chef de service concerné que le Comité d’audit n’a pas accepté le niveau du risque et qu’une mesure doit être mise en œuvre pour régler le problème.

  3. Dans tous les cas, le vérificateur général aura le dernier mot quant au caractère acceptable ou non du niveau de risque pour l’organisation.

Mise à jour :
2018-02-19